Android新漏洞曝光：黑客可假冒正规应用

新浪科技讯 北京时间7月30日早间消息，周二发布的一份研究报告显示，谷歌Android操作系统存在一项安全漏洞，可以让黑客假冒受信任的正规应用，从而劫持用户的智能手机或平板电脑。安全公司Bluebox Security在报告中表示，根本问题在于Android校验应用身份时采取的方式。验证身份是网络世界中最根本的问题之一。例如，登录银行账号的人是否是该账号的所有者？某款应用是否真如其所宣称的那样？总部位于旧金山的Bluebox的主要业务是帮助企业保护其移动设备上的数据安全，因此该公司的员工正在研究和了解移动操作系统的架构。每一款Android应用都有自己的数字签名，也就是ID卡。例如，Adobe公司在Android上有一个指定签名，而该公司开发的所有程序都有一个基于该签名的ID。但Bluebox却发现，当一款应用亮出Adobe ID时，Android不会却向Adobe核实该ID的真实性。换句话说，网络犯罪分子可以利用假冒的Adobe签名来开发恶意软件，从而感染用户的系统。当然，该问题并不局限于Adobe：黑客还可以创建一个假冒谷歌钱包的恶意应用，然后访问用户的支付账号和财务数据。系统管理软件也会存在同样的问题，使得黑客能够控制整个系统。Bluebox表示，该问题会影响到2010年1月发布的Android 2.1系统及更高版本，但最近的Android 4.4奇巧系统已经修复了与Adobe有关的漏洞。但受影响的设备依然数量庞大，根据美国市场研究公司Gartner的测算，2012至2013年间，新出货的Android设备高达
14亿部，预计今年的出货量还将增加11.7亿部。“我们感谢Bluebox的认真负责，感谢他们将问题报告给我们。第三方研究一直是Android系统进步的方式之一。”谷歌发言人克里斯多夫·凯特萨罗斯(Christopher Katsaros)说。此次问题凸显出安全研究人员与谷歌对安全漏洞的处理方式，但也表明这类问题十分复杂：不仅需要谷歌方面的协调，还需要众多开发者和设备制造商的配合。Bluebox表示，该公司在今年3月末完成了这项研究，并在3月31日将漏洞提交给谷歌。Android安全团队于今年4月开发了一个解决方案，并提交给了相关厂商。因此，在Bluebox发布研究结果前，这些企业有90天的时间修补该漏洞。Bluebox已经在大约6300款Android设备中挑选了大约40款进行测试，但似乎只有一家厂商修补了该漏洞。谷歌发言人凯特萨罗斯表示，该公司已经通过改进Google Play和Verify Apps来提升安全性，让用户免受虚假ID问题的影响。“我们已经扫描了所有提交给Google Play的应用，以及谷歌谷歌在Google Play之外评估的应用，目前没有发现任何证据显示，有人试图利用该漏洞。”凯特萨罗斯说。Bluebox计划在下周的黑帽黑客大会上讨论这一问题，预计在此之前还将出现更多与安全问题有关的新闻。(鼎宏)