安卓系统近日曝出存在签名合法性验证漏洞,黑客可以将手机病毒伪造成安卓系统信任的应用,隐藏在手机中伺机窃取用户的账号、密码和隐私信息等。这种漏洞就像诈骗者持他人身份证就可顺利在银行办理业务,给安卓手机用户带来极大的潜在威胁。
安卓系统近日曝出存在签名合法性验证漏洞,黑客可以将手机病毒伪造成安卓系统信任的应用,隐藏在手机中伺机窃取用户的账号、密码和隐私信息等。这种漏洞就像诈骗者持他人身份证就可顺利在银行办理业务,给安卓手机用户带来极大的潜在威胁。
签名是手机应用在安卓系统内的唯一标识,就像我们的身份证(ID card)。安卓系统仅通过签名来判定应用是否授信,进而允许授信应用完成用户请求的操作。这样的系统验证机制如今发现存在一个漏洞:某应用只要声称自己持有受信任的签名,就能通过系统安全验证。
比如某个伪造Adobe Flash 签名的恶意应用,一旦通过系统验证被安装在手机上,在用户使用浏览器时,恶意应用就会被系统自动加载,进而监视用户的行为,造成用户网银、社交网络等账号和密码被轻易窃取,使用浏览器时的各种记录也将完全暴露在风险当中。由于伪造签名的应用已被系统信任,因此用户还很难察觉。
据分析,该漏洞影响安卓 2.1~4.3版本,占安卓整体用户的80%以上,预计全球将有超过1亿用户受影响。目前,谷歌已在发现该漏洞的第一时间发布了补丁程序,并通报给三星、HTC等合作伙伴,同时升级了Google Play应用市场,阻止利用该漏洞的恶意应用上架。
猎豹移动安全实验室(原金山毒霸)建议用户,尽快将手机系统升级到安卓 4.4及以上版本,尽量从可靠的安卓应用市场下载应用。对那些无法升级系统的用户,猎豹清理大师(Clean Master)和CM Security(手机毒霸国际版)也已经推出了完善的漏洞检测及防御方案,建议用户立即安装使用,更好地保护手机安全。
网友评论