7月5日外媒消息,移动设备安全公司Bluebox前日发帖指出,声称发现Android自1.6版本(甜甜圈)以来就存在漏洞,非常易于被黑客利用,已影响99%的Android设备长达4年时间。据称,该漏洞源于Android应用加密验证方式的纰漏,其允许黑客在不破坏加密签名的情况下修改应用程序包(APK)。
Bluebox CTO Jeff Forristal指出,安装一款应用并为其创建一个沙盒后,Android将记录下该应用的数字签名,随后的升级需要匹配签名,以验证这些操作来自同一用户。对于Android而言,这是一种十分重要的安全模式,因其可确保一款应用程序在沙盒中存储的敏感信息只能通过最早创建者的密匙来访问。
Jeff Forristal说:“根据应用程序的类型,黑客能利用该漏洞来盗窃数据,或者是创建移动僵尸网络”。更为严重的是,如果黑客修改一款由设备制造商开发的预装应用,他们有可能控制整个系统。他们可以通过发邮件、上传第三方应用、USB复制等多种途径植入木马应用,恶意代码将长驱直入。
