猎云网7月5日报道(编译:阿沫)
信息安全研究者Bluebox近日声明,他们发现在安卓操作系统上存在一个严重漏洞。该漏洞使得恶意木马得以伪装成系统认证的软件,并让病毒得以藏身于已安装的程序中,而不被用户觉察。根据Bluebox实验室的安全研究团队所言,该漏洞从Android 1.6版本起既已存在,影响范围极广,大约99%的安卓设备都面临该漏洞带来的威胁。
一般来说,应用是通过加密签名获得认证的。因此,如果认证密匙与开发者预留的不符,那系统将自动拒绝任何含有改动的更新行为。不过Bluebox声称已寻获变更方法,不用强行破坏数字签名就能对APK安装包进行修改。这种方法也表明,如果意图不良的黑客能够设法将修改过的安装包发给用户,那么用户就很有可能在不知情的情况下安装含有恶意代码的软件。
而黑客将如何传播这些被恶意更改的安装包呢?
自Google强力整顿了应用商店之后,通过Play Store来散布恶意软件是几乎不可能的。不过,在其他渠道或平台上,用户依旧很有可能被诱导安装某些应用,或者不小心掉进某些“伪更新”的陷阱。诸如第三方应用商城、钓鱼邮件、或者是不良网站,都有可能是恶意应用的来源。
目前尚无法明确这些恶意软件是否避开了安卓系统上“从未知来源安装”的安全设定。毕竟,自从Facebook绕开Play Store自动更新以来,许多用户就都设置为许可未知来源的应用安装。同时,一旦恶意固件升级得到许可确认,那么黑客/攻击者就将获得全部系统权限,能够肆意获取用户信息,甚至建立僵尸网络。
这个严重漏洞对那些使用老版安卓系统并停止获取更新的用户来说,不啻于是一记响亮的耳光。
本周,HTC宣布其将停止对One S进行更新,尽管这款设备上市才不到一年。Bluebox团队表示Google在今年2月份就已经获悉该漏洞,不过是否对各款设备进行补丁完善则取决于各家制造商。Bluebox的首席技术官Jeff Forristal对IDG表示,三星新上市的Galaxy S4已经安装了对应补丁,不过Google自家Nexus的补丁维护反而还在进程中。
Bluebox表示将在月底于拉斯维加斯举行的黑帽安全大会上进一步披露详情。
Via: The Verge