Android系统爆重大安全漏洞 可创造虚假ID

jopen 10年前

Android系统爆重大安全漏洞 可创造虚假ID

        根据今日发布的一项研究,谷歌的安卓操作系统可能存在安全漏洞,这将使得黑客可以冒充被信任的应用程序并潜在的窃取你的手机或平板电脑信息。本 质问题在于安卓检查——或者确切来说是不检查——某些应用程序真实性的方式,因此这一漏洞也获得了一个醒目的名字——“假 ID”,做公司移动数据保护的隐形公司 Bluebox Security 这样说道。

        验证身份是在线网络最重要的问题之一,登陆某银行账户的人是否就是账户所有者?总部位于旧金山的 Bluebox 公司主要是帮助公司保护移动设备上的数据,公司员工也在调查和理解 Bluebox 所基于的移动操作系统构架,公司首席技术官杰夫·佛利斯塔尔(Jeff Forristal)这样表示。

        每一个安卓应用程序都有自己的数字签名,本质上来说就是一张 ID 卡。例如 Adobe 系统在安卓系统上有一个特殊的签名,所有 Adobe 的程序都有基于这一签名的 ID。Bluebox 公司发现,当一个应用程序闪射一个 Adobe ID,安卓并不会与 Adobe 核查这是否是真实的 ID。这意味着一个恶意用户可以基于 Adobe 的签名创造一个恶意软件并植入你的系统。

        这个问题并不只是 Adobe 系统特有,黑客可以创造一个恶意应用程序冒充谷歌钱包,然后获得付款和财务数据。相同的问题也出现在某些设备上的管理软件,这使得黑客可以完全控制整个系统。

        “本质上来说,我们发现了一种制造虚假 ID 的方法,”佛利斯塔尔这样说道。“很多黑客都能够创造假 ID 卡,但问题是他们创造的是哪一种虚假 ID 卡?”这一缺陷会影响安卓 2.1 以上系统,尽管最新的系统 4.4 或者称 KitKat 已经修复了这一漏洞,因为这个系统与 Adobe 相关,据 Bluebox 表示。从 2012 年至 2013 年,大约 14 亿新的设备装有安卓操作系统,据市场研究机构 Gartner 公司表示。Gartner 估计今年将有 11.7 亿个安卓设备。

        安卓系统的这一弱点展示了安全研究人员和谷歌是如何处理软件或者程序里发现的漏洞。它还暗示了处理影响安卓系统的弱点的复杂性,因为修复需要的不仅仅是谷歌的相关调整,它还涉及不同的软件开发者和设备制造商。

        据佛利斯塔尔表示,Bluebox 在三月下旬完成了这项调研并于 3 月 31 日将漏洞递交给谷歌。安卓安全小组在 4 月开发了修复的方法并将补丁交给供应商,在 Bluebox 发布它们的发现之前,供应商有 90 天的时间实施这一修复。Bluebox 已经测试了市场里 6300 多个产品里的 40 个安卓设备。Bluebox 计划在下周美国拉斯维加斯召开的“黑帽”安全技术大会上讨论他们的发现。

来自: 驱动之家