據(jù)國(guó)外媒體報(bào)道，移動(dòng)安全創(chuàng)業(yè)企業(yè)Bluebox周三發(fā)帖子指出，自Android 1.6版本以來(lái)就存在漏洞，被黑客用于竊取數(shù)據(jù)、操縱系統(tǒng)，且有99%的Android設(shè)備受到影響。

研究人員發(fā)現(xiàn)，過(guò)去四年中，這一漏洞普遍存在，黑客可修改任何應(yīng)用的合法數(shù)字簽名，將其改造成一個(gè)木馬程序來(lái)盜取數(shù)據(jù)或者控制操作系統(tǒng)。Bluebox發(fā)現(xiàn)了該漏洞，并計(jì)劃于本月晚些時(shí)候在拉斯維加斯美國(guó)黑帽安全大會(huì)上披露更多細(xì)節(jié)。

這一漏洞源于Android應(yīng)用加密驗(yàn)證方式的紕漏，其允許黑客在不破壞加密簽名的情況下修改應(yīng)用程序包(APKs)。

Bluebox的首席技術(shù)官Jeff Forristal指出，安裝一款應(yīng)用并為其創(chuàng)建一個(gè)沙盒后，Android將記錄下該應(yīng)用的數(shù)字簽名，隨后的升級(jí)需要匹配簽名，以驗(yàn)證這些操作來(lái)自同一用戶。對(duì)于Android而言，這是一種十分重要的安全模式，因其可確保一款應(yīng)用程序在沙盒中存儲(chǔ)的敏感信息只能通過(guò)最早創(chuàng)建者的密匙來(lái)訪問(wèn)。

研究人員發(fā)現(xiàn)，Android漏洞允許黑客為已驗(yàn)證簽名的APKs添加惡意代碼，而無(wú)需破壞其簽名。

值得一提的是，該漏洞至少自Android 1.6、即甜甜圈版本就已存在，已影響Android設(shè)備長(zhǎng)達(dá)四年時(shí)間。

Bluebox指出：“根據(jù)應(yīng)用程序的類(lèi)型，黑客能利用該漏洞來(lái)盜竊數(shù)據(jù)，或者是創(chuàng)建移動(dòng)僵尸網(wǎng)絡(luò)”。更為嚴(yán)重的是，如果黑客修改一款由設(shè)備制造商開(kāi)發(fā)的預(yù)裝應(yīng)用，他們有可能控制整個(gè)系統(tǒng)。

Forristal表示：“如果有固件平臺(tái)密匙，你就可以升級(jí)系統(tǒng)組件”。這樣一來(lái)，惡意代碼將長(zhǎng)驅(qū)直入，可以訪問(wèn)所有應(yīng)用、數(shù)據(jù)、賬戶、密碼及網(wǎng)絡(luò)，幾乎可以操縱整個(gè)設(shè)備?！?/span>

此外，黑客可通過(guò)發(fā)送電子郵件、上傳至第三方應(yīng)用商店、植入任何網(wǎng)站、通過(guò)USB復(fù)制等多種途徑植入木馬應(yīng)用。其中，利用第三方應(yīng)用商店來(lái)植入惡意代碼的方式目前已被證實(shí)。

不過(guò)，F(xiàn)orristal指出，利用Google Play不可能達(dá)成目標(biāo)，因?yàn)楣雀枰巡扇∮行Т胧﹣?lái)防止類(lèi)似問(wèn)題發(fā)生。