編輯:Android新聞
根據國外媒體的報道,企業安全公司Bluebox在Android安全模式中發現了一個重大的安全漏洞,該漏洞將會使Android設備成為不設防的受攻擊對象。據Bluebox的安全研究團隊稱,流氓應用可以通過這個安全漏洞獲得Android系統和所有已安裝應用的最高訪問權限,讀取用戶設備上的所有數據,搜集所有的密碼並建立一個由“常開、常聯網和常移動”的間諜設備組成的僵屍網絡。
Bluebox的首席技術官傑夫佛利斯塔爾(Jeff Forristal)稱,利用Android系統中的這個新發現的漏洞,黑客們可以在不破壞應用軟件的密碼簽名的情況下修改應用的APK(應用程序包文件)代碼,將任何合法應用轉換成惡意木馬,而且完全不會被應用商店、手機或最終用戶注意到。
佛利斯塔爾稱,這個漏洞的影響范圍極廣,至少自Android 1.6(產品代碼:Donut)發布後的設備都存在這個安全漏洞。換句話說,過去4年內發布的所有Android手機都會受到這個漏洞的影響。
這個影響范圍極廣的安全漏洞涉及到Android應用程序的密碼驗證和安裝方式上的差異,它可以在不破壞密碼簽名的情況下修改應用的APK代碼。
與iOS應用一樣,Android應用也標記了一個密鑰標簽以避免惡意黑客修改應用程序。標記過密鑰標簽的應用可以讓系統檢測出第三方對應用作出的任何干預或修改。
然而,利用最新發現的這個Android漏洞,流氓開發員可以騙過系統,讓系統認為某個已經被破壞的應用仍然是合法應用,從而獲得訪問系統的權限。
Bluebox公司的一位代表稱:“受到這個漏洞影響的設備幾乎可以為所欲為,包括成為僵屍網絡的一部分、監聽耳機、將用戶的數據傳輸給第三方、加密和劫持用戶的數據、利用用戶的數據向另一個網絡發起攻擊、攻擊與用戶手機聯網的計算機、發送垃圾短信息、對某個目標發起DDoS攻擊或者擦除用戶設備上的所有數據。”
Bluebox稱,這個漏洞自Android 1.6(Donut)發布時就存在了,這意味著過去4年內發布的所有Android設備都受到了它的影響。
已經被黑客破壞的應用可以利用這個安全漏洞偽裝成合法應用,從而獲得訪問系統資源的權限。Bluebox指出,持有Android許可證的很多廠商比如HTC、三星、摩托羅拉和LG等自己的應用以及很多VPN應用如思科的AnyConnect都被授予了很高的特權,特別是可以訪問系統UID。
繞過Android系統的應用簽名模式並換下這樣一款應用後,流氓應用就可以獲得訪問Android系統、所有已安裝應用和所有數據的最高權限。
這意味著流氓應用不但可以讀取設備上的任意應用數據以及檢索儲存在本地的所有帳戶和服務密碼,而且還可以取代手機的正常功能進而控制任何功能,比如撥打任意電話、發送任意短信息、打開攝像頭和電話錄音等。
Bluebox補充說:“最後,最令人擔心的問題是黑客有可能利用這些僵屍移動設備的‘常開、常聯網和常移動’的特點,建立一個僵屍網絡。”
Bluebox已經在今年2月將這個漏洞的信息提供給了谷歌和開放手機聯盟(OHA)的成員廠商,但它指出,開發和發布所有移動設備的固件升級的任務需要由設備廠商來完成。這些升級的發布時間肯定各不相同,具體將取決於廠商和移動設備。
到目前為止,持有Android許可證的廠商在發布相關升級上的表現並不積極,它們通常不願發布安全補丁,哪怕是非常重要的安全補丁也不例外。
Android系統在安全防護上的弱勢表現也使它成為了全球受惡意件影響最大的移動平台。這個新發現的安全漏洞會將Android用戶置於更危險的境地,因為現在即便是合法開發商簽名的應用也不可信了。
安全公司F-Secure在5月份指出:“Android惡意件生態系統開始變得象Windows惡意件生態系統一樣了。”
佛利斯塔爾將會在不久後的黑帽子大會上公布關於此漏洞的更多詳細信息,目前谷歌對此還為做出任何評價。
