Android安全模式驚曝新漏洞 影響范圍極廣

　　據(jù)Bluebox的安全研究團隊稱，流氓應用可以通過這個安全漏洞獲得Android系統(tǒng)和所有已安裝應用的最高訪問權限，讀取用戶設備上的所有數(shù)據(jù)，搜集所有的密碼并建立一個由“常開、常聯(lián)網(wǎng)和常移動”的間諜設備組成的僵尸網(wǎng)絡。

　　Bluebox的首席技術官杰夫佛利斯塔爾（Jeff Forristal）稱，利用Android系統(tǒng)中的這個新發(fā)現(xiàn)的漏洞，黑客們可以在不破壞應用軟件的密碼簽名的情況下修改應用的APK（應用程序包文件）代碼，將任何合法應用轉換成惡意木馬，而且完全不會被應用商店、手機或最終用戶注意到。

　　佛利斯塔爾稱，這個漏洞的影響范圍極廣，至少自Android 1.6（產品代碼：Donut）發(fā)布后的設備都存在這個安全漏洞。換句話說，過去4年內發(fā)布的所有Android手機都會受到這個漏洞的影響。

　　這個影響范圍極廣的安全漏洞涉及到Android應用程序的密碼驗證和安裝方式上的差異，它可以在不破壞密碼簽名的情況下修改應用的APK代碼。

　　與iOS應用一樣，Android應用也標記了一個密鑰標簽以避免惡意黑客修改應用程序。標記過密鑰標簽的應用可以讓系統(tǒng)檢測出第三方對應用作出的任何干預或修改。

　　然而，利用最新發(fā)現(xiàn)的這個Android漏洞，流氓開發(fā)員可以騙過系統(tǒng)，讓系統(tǒng)認為某個已經(jīng)被破壞的應用仍然是合法應用，從而獲得訪問系統(tǒng)的權限。

　　Bluebox公司的一位代表稱：“受到這個漏洞影響的設備幾乎可以為所欲為，包括成為僵尸網(wǎng)絡的一部分、監(jiān)聽耳機、將用戶的數(shù)據(jù)傳輸給第三方、加密和劫持用戶的數(shù)據(jù)、利用用戶的數(shù)據(jù)向另一個網(wǎng)絡發(fā)起攻擊、攻擊與用戶手機聯(lián)網(wǎng)的計算機、發(fā)送垃圾短信息、對某個目標發(fā)起DDoS攻擊或者擦除用戶設備上的所有數(shù)據(jù)?！?/p>

　　Bluebox稱，這個漏洞自Android 1.6（Donut）發(fā)布時就存在了，這意味著過去4年內發(fā)布的所有Android設備都受到了它的影響。

　　已經(jīng)被黑客破壞的應用可以利用這個安全漏洞偽裝成合法應用，從而獲得訪問系統(tǒng)資源的權限。Bluebox指出，持有Android許可證的很多廠商比如HTC、三星、摩托羅拉和LG等自己的應用以及很多VPN應用如思科的AnyConnect都被授予了很高的特權，特別是可以訪問系統(tǒng)UID。

　　繞過Android系統(tǒng)的應用簽名模式并換下這樣一款應用后，流氓應用就可以獲得訪問Android系統(tǒng)、所有已安裝應用和所有數(shù)據(jù)的最高權限。

　　這意味著流氓應用不但可以讀取設備上的任意應用數(shù)據(jù)以及檢索儲存在本地的所有帳戶和服務密碼，而且還可以取代手機的正常功能進而控制任何功能，比如撥打任意電話、發(fā)送任意短信息、打開攝像頭和電話錄音等。

　　Bluebox補充說：“最后，最令人擔心的問題是黑客有可能利用這些僵尸移動設備的‘常開、常聯(lián)網(wǎng)和常移動’的特點，建立一個僵尸網(wǎng)絡。”

　　Bluebox已經(jīng)在今年2月將這個漏洞的信息提供給了谷歌和開放手機聯(lián)盟（OHA）的成員廠商，但它指出，開發(fā)和發(fā)布所有移動設備的固件升級的任務需要由設備廠商來完成。這些升級的發(fā)布時間肯定各不相同，具體將取決于廠商和移動設備。

　　到目前為止，持有Android許可證的廠商在發(fā)布相關升級上的表現(xiàn)并不積極，它們通常不愿發(fā)布安全補丁，哪怕是非常重要的安全補丁也不例外。

　　Android系統(tǒng)在安全防護上的弱勢表現(xiàn)也使它成為了全球受惡意件影響最大的移動平臺。這個新發(fā)現(xiàn)的安全漏洞會將Android用戶置于更危險的境地，因為現(xiàn)在即便是合法開發(fā)商簽名的應用也不可信了。

　　安全公司F-Secure在5月份指出：“Android惡意件生態(tài)系統(tǒng)開始變得象Windows惡意件生態(tài)系統(tǒng)一樣了。”

　　佛利斯塔爾將在今年的黑帽子大會上公布這個安全漏洞的詳細資料。

　　谷歌和開放手機聯(lián)盟對此未予置評。