移動安全公司Bluebox近期在其研究報告中指出，谷歌安卓移動操作系統(tǒng)存在新的安全漏洞，黑客可利用該漏洞“偽裝”成安全應(yīng)用軟件，從而入侵用戶的智能手機(jī)和平板電腦。

    Bluebox在報告中指出，最根本的問題出在了安卓系統(tǒng)對應(yīng)用軟件“ID”的審查方式上，或者谷歌根本就不去審查應(yīng)用軟件的身份。Bluebox將此漏洞描述為 “虛假ID”。
    總部位于舊金山的Bluebox公司首席技術(shù)官杰夫·佛利斯塔爾(JeffForristal)表示，該公司主要是幫助公司保護(hù)移動設(shè)備上的數(shù)據(jù)，該公司員工也在調(diào)查和理解Bluebox所基于的移動操作系統(tǒng)構(gòu)架。
    驗證“ID”是互聯(lián)網(wǎng)世界最重要的問題之一。就像有了銀行賬號和密碼就可以登陸該銀行賬戶一樣，每個應(yīng)用軟件也有自己的數(shù)字簽名——“ID卡”。比如，Adobe在安卓平臺上有一個特定的數(shù)字簽名，Adobe所發(fā)布的所有應(yīng)用軟件都是在這個數(shù)字簽名基礎(chǔ)上分配“ID”。Bluebox發(fā)現(xiàn)，當(dāng)某款應(yīng)用上攜帶了Adobe“ID”，安卓系統(tǒng)并不會核實這個ID的真實性。這也就意味著，黑客可利用此漏洞偽造出Adobe的數(shù)字簽名，并編寫惡意代碼植入軟件中，從而對用戶設(shè)備展開“入侵”。 這種漏洞并非只針對Adobe：黑客可以開發(fā)攜帶惡意病毒的應(yīng)用軟件，“冒充”谷歌錢包，然后獲取用戶支付和財務(wù)數(shù)據(jù)。同樣的問題也存在于設(shè)備上的管理軟件中，黑客可控制整個系統(tǒng)。
    佛利斯塔爾表示：“我們已發(fā)現(xiàn)了一種創(chuàng)建虛假ID的方法， 但是目前還不清楚，黑客到底創(chuàng)建的是哪一種虛假ID卡?！?br />     Bluebox表示，這一漏洞將會影響到安卓2.1及以上系統(tǒng)。不過，谷歌4.4系統(tǒng)已經(jīng)修復(fù)了這一漏洞。根據(jù)市場研究機(jī)構(gòu)Gartner提供的數(shù)據(jù)，從2012年至2013年，配安卓操作系統(tǒng)的新設(shè)備出貨量達(dá)到了14億部左右。Gartner預(yù)期今年將有11.7億部安卓設(shè)備出貨量。
    谷歌發(fā)言人克里斯多夫·卡特薩洛斯(Christopher Katsaros)表示：“我們非常感謝Bluebox能夠很負(fù)責(zé)地將這一漏洞通知我們，第三方研究是提高安卓系統(tǒng)安全性、保護(hù)用戶隱私的有效途徑之一?！?br />     想要解決安卓系統(tǒng)中所存在漏洞，主要還是看安全研究人員和谷歌處理軟件或者程序里所發(fā)現(xiàn)漏洞的方法。同時，這也表明了處理安卓系統(tǒng)漏洞的“復(fù)雜性”，因為修復(fù)漏洞不光需要來自谷歌的努力，還要涉及不同軟件開發(fā)者和硬件設(shè)備制造商。
    佛利斯塔爾表示，他們已經(jīng)在今年三月下旬時完成了這項研究，并在3月31日將此漏洞提交給了谷歌。安卓安全小組在4月開發(fā)出了補丁，并將其提供給供應(yīng)商，后者在Bluebox將此漏洞公布于眾前，有90天的時間來向用戶推送補丁。Bluebox已經(jīng)測試了40款安卓設(shè)備。該公司表示：“我們僅知道，只有一家設(shè)備供應(yīng)商向用戶提供了修復(fù)補丁。”
    卡特薩洛斯表示，Google Play和Verify Apps已經(jīng)采取措施來保護(hù)用戶，使其免受虛假ID漏洞的影響。他表示：“現(xiàn)在，我們已對所有提交給Google Play的應(yīng)用軟件，以及來自Google Play之外，但受谷歌評估的應(yīng)用軟件進(jìn)行掃描，我們并沒有發(fā)現(xiàn)任何試圖借此漏洞入侵用戶設(shè)備的應(yīng)用”。
    跟谷歌所采取的措施不同，在今年年初，蘋果發(fā)布了一份有關(guān)iOS安全的白皮書，上面寫道：“我們在設(shè)計iOS時就已經(jīng)開發(fā)出了一種新型安全措施，我們所開發(fā)的創(chuàng)新功能同時兼顧了安全和生態(tài)系統(tǒng)體驗?！毕啾容^谷歌，蘋果設(shè)備在企業(yè)和政府領(lǐng)域的滲透速度要快很多。7月初，蘋果和IBM宣布結(jié)盟，雙方將合作來將蘋果產(chǎn)品推向企業(yè)市場。
    Bluebox計劃在下周美國拉斯維加斯召開的“黑帽”安全技術(shù)大會上討論他們的“發(fā)現(xiàn)”。