騰訊科技訊(林靖東)北京時間7月4日消息���,據(jù)國外媒體報道����,企業(yè)安全公司Bluebox在谷歌(微博)Android安全模式中發(fā)現(xiàn)一個新的安全漏洞��,會令幾乎所有的Android設備成為不設防的受攻擊對象����。
據(jù)Bluebox的安全研究團隊稱,流氓應用可以通過這個安全漏洞獲得Android系統(tǒng)和所有已安裝應用的最高訪問權限�,讀取用戶設備上的所有數(shù)據(jù),搜集所有的密碼并建立一個由“常開�����、常聯(lián)網(wǎng)和常移動”的間諜設備組成的僵尸網(wǎng)絡��。
Bluebox的首席技術官杰夫佛利斯塔爾(Jeff Forristal)稱��,利用Android系統(tǒng)中的這個新發(fā)現(xiàn)的漏洞�,黑客們可以在不破壞應用軟件的密碼簽名的情況下修改應用的APK(應用程序包文件)代碼���,將任何合法應用轉(zhuǎn)換成惡意木馬��,而且完全不會被應用商店����、手機或最終用戶注意到。
佛利斯塔爾稱���,這個漏洞的影響范圍極廣�����,至少自Android 1.6(產(chǎn)品代碼:Donut)發(fā)布后的設備都存在這個安全漏洞��。換句話說�,過去4年內(nèi)發(fā)布的所有Android手機都會受到這個漏洞的影響�����。
這個影響范圍極廣的安全漏洞涉及到Android應用程序的密碼驗證和安裝方式上的差異���,它可以在不破壞密碼簽名的情況下修改應用的APK代碼����。
與iOS應用一樣����,Android應用也標記了一個密鑰標簽以避免惡意黑客修改應用程序����。標記過密鑰標簽的應用可以讓系統(tǒng)檢測出第三方對應用作出的任何干預或修改�。
然而,利用最新發(fā)現(xiàn)的這個Android漏洞��,流氓開發(fā)員可以騙過系統(tǒng)����,讓系統(tǒng)認為某個已經(jīng)被破壞的應用仍然是合法應用,從而獲得訪問系統(tǒng)的權限���。
Bluebox公司的一位代表稱:“受到這個漏洞影響的設備幾乎可以為所欲為����,包括成為僵尸網(wǎng)絡的一部分����、監(jiān)聽耳機�、將用戶的數(shù)據(jù)傳輸給第三方、加密和劫持用戶的數(shù)據(jù)�����、利用用戶的數(shù)據(jù)向另一個網(wǎng)絡發(fā)起攻擊、攻擊與用戶手機聯(lián)網(wǎng)的計算機��、發(fā)送垃圾短信息�、對某個目標發(fā)起DDoS攻擊或者擦除用戶設備上的所有數(shù)據(jù)。”
Bluebox稱����,這個漏洞自Android 1.6(Donut)發(fā)布時就存在了,這意味著過去4年內(nèi)發(fā)布的所有Android設備都受到了它的影響���。
已經(jīng)被黑客破壞的應用可以利用這個安全漏洞偽裝成合法應用���,從而獲得訪問系統(tǒng)資源的權限。Bluebox指出���,持有Android許可證的很多廠商比如HTC�、三星�����、摩托羅拉和LG等自己的應用以及很多VPN應用如思科的AnyConnect都被授予了很高的特權�,特別是可以訪問系統(tǒng)UID。
繞過Android系統(tǒng)的應用簽名模式并換下這樣一款應用后�,流氓應用就可以獲得訪問Android系統(tǒng)�����、所有已安裝應用和所有數(shù)據(jù)的最高權限�����。
這意味著流氓應用不但可以讀取設備上的任意應用數(shù)據(jù)以及檢索儲存在本地的所有帳戶和服務密碼���,而且還可以取代手機的正常功能進而控制任何功能,比如撥打任意電話�、發(fā)送任意短信息、打開攝像頭和電話錄音等���。
Bluebox補充說:“最后����,最令人擔心的問題是黑客有可能利用這些僵尸移動設備的‘常開�����、常聯(lián)網(wǎng)和常移動’的特點�����,建立一個僵尸網(wǎng)絡�。”
Bluebox已經(jīng)在今年2月將這個漏洞的信息提供給了谷歌和開放手機聯(lián)盟(OHA)的成員廠商,但它指出��,開發(fā)和發(fā)布所有移動設備的固件升級的任務需要由設備廠商來完成��。這些升級的發(fā)布時間肯定各不相同���,具體將取決于廠商和移動設備���。
到目前為止,持有Android許可證的廠商在發(fā)布相關升級上的表現(xiàn)并不積極�����,它們通常不愿發(fā)布安全補丁��,哪怕是非常重要的安全補丁也不例外�����。
Android系統(tǒng)在安全防護上的弱勢表現(xiàn)也使它成為了全球受惡意件影響最大的移動平臺����。這個新發(fā)現(xiàn)的安全漏洞會將Android用戶置于更危險的境地��,因為現(xiàn)在即便是合法開發(fā)商簽名的應用也不可信了�。
安全公司F-Secure在5月份指出:“Android惡意件生態(tài)系統(tǒng)開始變得象Windows惡意件生態(tài)系統(tǒng)一樣了��。”
佛利斯塔爾將在今年的黑帽子大會上公布這個安全漏洞的詳細資料�����。
谷歌和開放手機聯(lián)盟對此未予置評���。
