騰訊科技訊(林靖東)北京時間7月4日消息,據國外媒體報道��,企業(yè)安全公司Bluebox在谷歌(微博)Android安全模式中發(fā)現一個新的安全漏洞�,會令幾乎所有的Android設備成為不設防的受攻擊對象。
據Bluebox的安全研究團隊稱���,流氓應用可以通過這個安全漏洞獲得Android系統(tǒng)和所有已安裝應用的最高訪問權限����,讀取用戶設備上的所有數據,搜集所有的密碼并建立一個由“常開���、常聯網和常移動”的間諜設備組成的僵尸網絡���。
Bluebox的首席技術官杰夫佛利斯塔爾(Jeff Forristal)稱,利用Android系統(tǒng)中的這個新發(fā)現的漏洞�,黑客們可以在不破壞應用軟件的密碼簽名的情況下修改應用的APK(應用程序包文件)代碼,將任何合法應用轉換成惡意木馬��,而且完全不會被應用商店、手機或最終用戶注意到����。
佛利斯塔爾稱����,這個漏洞的影響范圍極廣����,至少自Android 1.6(產品代碼:Donut)發(fā)布后的設備都存在這個安全漏洞。換句話說�����,過去4年內發(fā)布的所有Android手機都會受到這個漏洞的影響�。
這個影響范圍極廣的安全漏洞涉及到Android應用程序的密碼驗證和安裝方式上的差異,它可以在不破壞密碼簽名的情況下修改應用的APK代碼��。
與iOS應用一樣���,Android應用也標記了一個密鑰標簽以避免惡意黑客修改應用程序�����。標記過密鑰標簽的應用可以讓系統(tǒng)檢測出第三方對應用作出的任何干預或修改����。
然而,利用最新發(fā)現的這個Android漏洞��,流氓開發(fā)員可以騙過系統(tǒng)��,讓系統(tǒng)認為某個已經被破壞的應用仍然是合法應用�,從而獲得訪問系統(tǒng)的權限。
Bluebox公司的一位代表稱:“受到這個漏洞影響的設備幾乎可以為所欲為���,包括成為僵尸網絡的一部分��、監(jiān)聽耳機��、將用戶的數據傳輸給第三方���、加密和劫持用戶的數據���、利用用戶的數據向另一個網絡發(fā)起攻擊�����、攻擊與用戶手機聯網的計算機、發(fā)送垃圾短信息�����、對某個目標發(fā)起DDoS攻擊或者擦除用戶設備上的所有數據����。”
Bluebox稱,這個漏洞自Android 1.6(Donut)發(fā)布時就存在了��,這意味著過去4年內發(fā)布的所有Android設備都受到了它的影響����。
已經被黑客破壞的應用可以利用這個安全漏洞偽裝成合法應用���,從而獲得訪問系統(tǒng)資源的權限。Bluebox指出����,持有Android許可證的很多廠商比如HTC、三星���、摩托羅拉和LG等自己的應用以及很多VPN應用如思科的AnyConnect都被授予了很高的特權���,特別是可以訪問系統(tǒng)UID。
繞過Android系統(tǒng)的應用簽名模式并換下這樣一款應用后,流氓應用就可以獲得訪問Android系統(tǒng)����、所有已安裝應用和所有數據的最高權限。
這意味著流氓應用不但可以讀取設備上的任意應用數據以及檢索儲存在本地的所有帳戶和服務密碼��,而且還可以取代手機的正常功能進而控制任何功能�����,比如撥打任意電話����、發(fā)送任意短信息、打開攝像頭和電話錄音等�����。
Bluebox補充說:“最后���,最令人擔心的問題是黑客有可能利用這些僵尸移動設備的‘常開、常聯網和常移動’的特點���,建立一個僵尸網絡�。”
Bluebox已經在今年2月將這個漏洞的信息提供給了谷歌和開放手機聯盟(OHA)的成員廠商,但它指出���,開發(fā)和發(fā)布所有移動設備的固件升級的任務需要由設備廠商來完成���。這些升級的發(fā)布時間肯定各不相同,具體將取決于廠商和移動設備���。
到目前為止����,持有Android許可證的廠商在發(fā)布相關升級上的表現并不積極�,它們通常不愿發(fā)布安全補丁,哪怕是非常重要的安全補丁也不例外��。
Android系統(tǒng)在安全防護上的弱勢表現也使它成為了全球受惡意件影響最大的移動平臺��。這個新發(fā)現的安全漏洞會將Android用戶置于更危險的境地�,因為現在即便是合法開發(fā)商簽名的應用也不可信了。
安全公司F-Secure在5月份指出:“Android惡意件生態(tài)系統(tǒng)開始變得象Windows惡意件生態(tài)系統(tǒng)一樣了���。”
佛利斯塔爾將在今年的黑帽子大會上公布這個安全漏洞的詳細資料�。
谷歌和開放手機聯盟對此未予置評�。
