安全公司Bluebox Security日前表示，他們發(fā)現(xiàn)“Android主密鑰”可以允許黑客把任意一款Android應用變成惡意僵尸工具。換句話說，惡意軟件將可以允許黑客遠程獲取受感染設(shè)備的信息并控制其功能——比如通話和信息——這些全都不會被設(shè)備用戶、谷歌或是應用開發(fā)者注意。

在Bluebox Security的博文當中，公司首席技術(shù)官eff Forristal解釋稱，這個漏洞可以追溯到Android 1.6(也就是4年前的Donut)。根據(jù)他們的發(fā)現(xiàn)，黑客無需破壞用于認證的加密簽名便能夠修改一款應用的APK。

也就是說，黑客可以把一款應用塞滿惡意軟件，但表面上看卻沒有任何異常。由于已驗證的應用程序被授予了Android系統(tǒng)和手機上所有應用的完整訪問權(quán)，這個安全漏洞潛在上是巨大的，盡管這還僅停留在理論上——因為目前還不清楚惡意應用和升級是如何被送達到用戶設(shè)備上的。此外，Google Play商店內(nèi)的應用對于這種方式免疫，所以用戶應該避免通過第三方應用商店或是偽造的應用連接下載應用程序。

據(jù)悉，Bluebox Security在今年2月份就已經(jīng)將這個漏洞上報谷歌。最讓人擔憂的是，這個漏洞可能會影響到那些不再獲得系統(tǒng)升級的老設(shè)備。(Eskimo)

yangjin