Android被发现存在假冒应用身份的安全漏洞

发布时间：2020-02-14 04:37:55 阅读：次来源：钢笔厂家

7月30日，据商业周刊网站报道，移动安全技术厂商Bluebox Security(以下简称“Bluebox”)今天发表研究报告称，Android移动操作系统存在一处安全漏洞，黑客可以利用该缺陷“冒充”可信赖的应用，或者“挟持”用户的手机、平板电脑。

据Bluebox称，问题出在Android检查应用“身份”的方式上。验证身份是网络世界最基本的问题之一。每款Android应用都有自己的数字签名——相当于身份证。

例如，Adobe在Android平台上有一个特定的签名，它发布的所有应用都有一个基于其签名的“身份证”。Bluebox发现，当一款应用携带有Adobe“身份证”后，Android不向Adobe复验应用的真实“身份”。这意味着黑客可以利用Adobe的签名开发恶意应用，然后使恶意应用“入侵”用户的系统。

这一问题并非只有Adobe存在。黑客可以开发冒充Google钱包的恶意应用，窃取用户的财务资料和钱财。部分设备上的管理软件也存在相同的问题，使黑客能控制整个系统。

Bluebox首席技术官杰夫•弗里斯托(Jeff Forristal)说，“我们已经基本上发现了创建假冒‘身份证’的方法，多个不同的领域都存在创建假冒身份的问题。”

假冒身份缺陷影响包括Android 2.1(发布时间是2010年1月份)及以上版本，Android 4.4 KitKat已经修正了该缺陷。市场研究公司Gartner的数据显示，在2012-2013年，Android设备销量约为14亿，预计今年Android设备销量将达到11.7亿。这些数据从侧面反映了假冒身份缺陷的影响范围之广。

Google发言人克里斯托弗•卡特萨洛斯(Christopher Katsaros)说，“我们对Bluebox负责任地向我们报告这一缺陷表示赞赏，第三方研究是提高Android安全性的一个途径。”

假冒身份缺陷的披露表明了安全研究人员和Google合作披露安全缺陷的方式，它还表明了修正Android缺陷的复杂性，因为补丁软件不仅需要得到Google，还需要得到应用开发商和设备厂商的参与。

弗里斯托称，Bluebox 3月末完成了假冒身份缺陷的研究工作，3月31日向Google通报了该缺陷。Android安全团队4月份开发了补丁软件，并发布给厂商，厂商有90天时间部署补丁软件，而后Bluebox才对外披露了该缺陷。Bluebox对约40款Android设备进行了测试，发现迄今为止只有一家厂商部署了修正假冒身份缺陷的补丁软件。

卡特萨洛斯指出，Google Play和Verify Apps已经采取措施，保护用户不会受到假冒身份缺陷的影响，“我们对提交给Google Play的应用，以及Google评估的非Google Play应用进行了扫描，没有发现尝试利用该缺陷的应用”。

(责任编辑：硅谷网·书明寒)

上一篇：中国电信撤出运营易信会成为下一个泡泡吗？

下一篇：微软发布WP8.1 Update和中文版Cortana“小娜” 对“Android被发现存在假冒应用身份的安全漏洞”发布评论