Android新漏洞曝光黑客可假冒正规应用新日
周二发布的一份研究报告显示,谷歌android操作系统存在一项安全漏洞,可以让黑客假冒受信任的正规应用,从而劫持用户的智能手机或平板电脑。
安全公司Bluebox Security在报告中表示,根本问题在于android校验应用身份时采取的方式。
验证身份是网络世界中最根本的问题之一。例如,登录银行账号的人是否是该账号的所有者?某款应用是否真如其所宣称的那样?总部位于旧金山的Bluebox的主要业务是帮助企业保护其移动设备上的数据安全,因此该公司的员工正在研究和了解移动操作系统的架构。
每一款android应用都有自己的数字签名,也就是ID卡。例如,Adobe公司在android上有一个指定签名,而该公司开发的所有程序都有一个基于该签名的ID。但Bluebox却发现,当一款应用亮出Adobe ID时,android不会却向Adobe核实该ID的真实性。
换句话说,网络犯罪分子可以利用假冒的Adobe签名来开发恶意软件,从而感染用户的系统。当然,该问题并不局限于Adobe:黑客还可以创建一个假冒谷歌钱包的恶意应用,然后访问用户的支付账号和财务数据。系统管理软件也会存在同样的问题,使得黑客能够控制整个系统。
Bluebox表示,该问题会影响到2010年1月发布的android 2.1系统及更高版本,但最近的android 4.4奇巧系统已经修复了与Adobe有关的漏洞。
但受影响的设备依然数量庞大,根据美国市场研究公司Gartner的测算,2012至2013年间,新出货的android设备高达14亿部,预计今年的出货量还将增加11.7亿部。
“我们感谢Bluebox的认真负责,感谢他们将问题报告给我们。第三方研究一直是android系统进步的方式之一。”谷歌发言人克里斯多夫·凯特萨罗斯(Christopher Katsaros)说。
此次问题凸显出安全研究人员与谷歌对安全漏洞的处理方式,但也表明这类问题十分复杂:不仅需要谷歌方面的协调,还需要众多开发者和设备制造商的配合。
Bluebox表示,该公司在今年3月末完成了这项研究,并在3月31日将漏洞提交给谷歌。android安全团队于今年4月开发了一个解决方案,并提交给了相关厂商。因此,在Bluebox发布研究结果前,这些企业有90天的时间修补该漏洞。Bluebox已经在大约6300款android设备中挑选了大约40款进行测试,但似乎只有一家厂商修补了该漏洞。
谷歌发言人凯特萨罗斯表示,该公司已经通过改进Google Play和Verify Apps来提升安全性,让用户免受虚假ID问题的影响。
“我们已经扫描了所有提交给Google Play的应用,以及谷歌谷歌在Google Play之外评估的应用,目前没有发现任何证据显示,有人试图利用该漏洞。”凯特萨罗斯说。
Bluebox计划在下周的黑帽黑客大会上讨论这一问题,预计在此之前还将出现更多与安全问题有关的新闻。
- 自动推送台在瓶子包装作业中的应用婚礼鲜花线切割汽车颈枕浴室五金电镀机Frc
- 2012中国涂料工业信息年会将于8月在济烘烤炉录音电话室内光缆阻燃电缆婚宴酒店Frc
- 音乐下载收费续唱片公司未统一网站低调避谈福泉实验仪器分选设备咬胶系列逗猫棒Frc
- 全球储能领域爆发技术革新潮石头未来也能成试验机反光材料休闲椅五金件电工仪器Frc
- 包装成本限制问题引发争议除垢设备购房贷款锰砂滤料柴油水泵幼猫猫粮Frc
- 中国一拖领导走访慰问洛阳军分区和老红军0频谱仪直线轴承升降平台带鱼养殖餐巾Frc
- 2013年上半年我国注塑机出口情况分析美容镜螺纹胶透明脚垫玉石炉料Frc
- 陕建机苦练内功提服务排兵布阵开新局纤维吊带丁苯橡胶喷雾系统汽车质押智能水表Frc
- 投影机使用中的十大注意事项地漏面包机变频电源平衡器车身贴膜Frc
- 扬农化工公司环氧氯丙烷产销动态8加湿器刺绣机滑杆模架烟煤Frc