Android被发现存在假冒应用身份的安全漏洞
7月30日,据商业周刊网站报道,移动安全技术厂商Bluebox Security(以下简称“Bluebox”)今天发表研究报告称,Android移动操作系统存在一处安全漏洞,黑客可以利用该缺陷“冒充”可信赖的应用,或者“挟持”用户的手机、平板电脑。
据Bluebox称,问题出在Android检查应用“身份”的方式上。验证身份是网络世界最基本的问题之一。每款Android应用都有自己的数字签名——相当于身份证。
例如,Adobe在Android平台上有一个特定的签名,它发布的所有应用都有一个基于其签名的“身份证”。Bluebox发现,当一款应用携带有Adobe“身份证”后,Android不向Adobe复验应用的真实“身份”。这意味着黑客可以利用Adobe的签名开发恶意应用,然后使恶意应用“入侵”用户的系统。
这一问题并非只有Adobe存在。黑客可以开发冒充Google钱包的恶意应用,窃取用户的财务资料和钱财。部分设备上的管理软件也存在相同的问题,使黑客能控制整个系统。
Bluebox首席技术官杰夫•弗里斯托(Jeff Forristal)说,“我们已经基本上发现了创建假冒‘身份证’的方法,多个不同的领域都存在创建假冒身份的问题。”
假冒身份缺陷影响包括Android 2.1(发布时间是2010年1月份)及以上版本,Android 4.4 KitKat已经修正了该缺陷。市场研究公司Gartner的数据显示,在2012-2013年,Android设备销量约为14亿,预计今年Android设备销量将达到11.7亿。这些数据从侧面反映了假冒身份缺陷的影响范围之广。
Google发言人克里斯托弗•卡特萨洛斯(Christopher Katsaros)说,“我们对Bluebox负责任地向我们报告这一缺陷表示赞赏,第三方研究是提高Android安全性的一个途径。”
假冒身份缺陷的披露表明了安全研究人员和Google合作披露安全缺陷的方式,它还表明了修正Android缺陷的复杂性,因为补丁软件不仅需要得到Google,还需要得到应用开发商和设备厂商的参与。
弗里斯托称,Bluebox 3月末完成了假冒身份缺陷的研究工作,3月31日向Google通报了该缺陷。Android安全团队4月份开发了补丁软件,并发布给厂商,厂商有90天时间部署补丁软件,而后Bluebox才对外披露了该缺陷。Bluebox对约40款Android设备进行了测试,发现迄今为止只有一家厂商部署了修正假冒身份缺陷的补丁软件。
卡特萨洛斯指出,Google Play和Verify Apps已经采取措施,保护用户不会受到假冒身份缺陷的影响,“我们对提交给Google Play的应用,以及Google评估的非Google Play应用进行了扫描,没有发现尝试利用该缺陷的应用”。
(责任编辑:硅谷网·书明寒)
上一篇:中国电信撤出运营 易信会成为下一个泡泡吗?
下一篇:微软发布WP8.1 Update和中文版Cortana“小娜” 对“Android被发现存在假冒应用身份的安全漏洞”发布评论
- 最火前规侧规的定位不准导致的套印问题圣诞树宠物食品全棉袜子空调代理高温线Frc
- 12日福建SBS市场行情动态餐边柜打火机柜机潜水泵激光焊机Frc
- 安徽巢湖PA6市场小幅阴跌变电站铜铸件换色灯反渗透膜驱动桥Frc
- 帕斯托集团推出新款热塑性塑料豆皮机铸钢闸阀可调脚汽车球头不锈钢管Frc
- 印刷电路等高新技术产品成汕头出口亮点禹州净化设备混频器爬宠食品记步器Frc
- 最火小五金分类知多少常用五金件分类汇总牛蛙养殖玻化砖纸巾机压路机套圈Frc
- 中国重汽哈尔滨HOWO天然气车推广见成效美式插座方向盘套光接续盒震动开关进口坚果Frc
- 数控机床维修四大方法望闻问切牛仔裙滨州检测设备流变仪眼部护理Frc
- 卷烟包装要体现绿色环保冷热缸立式车床隔离柱拉伸模具化纤滤纸Frc
- 广东东莞制造行业企业接连倒闭引关注固安振动器书写纸肥煤聚酯薄膜Frc