安卓系统在今天之所以能大行其道,很大原因是因为其开放性。无论是开发者还是玩家,都可以按照自己的想法对手机进行改动。不过开发性虽好,但也需要注意安全。研究人员发现,过去四年中,安卓一漏洞普遍存在,黑客可修改任何应用的合法数字签名,将其改造成一个木马程序来盗取数据或者控制操作系统。 Bluebox发现了该漏洞,并计划于本月晚些时候在拉斯维加斯美国黑帽安全大会上披露更多细节。这一漏洞源于Android应用加密验证方式的纰漏,其允许黑客在不破坏加密签名的情况下修改应用程序包(APKs)。 Bluebox的首席技术官Jeff Forristal指出,安装一款应用并为其创建一个沙盒后,Android将记录下该应用的数字签名,随后的升级需要匹配签名,以验证这些操作来自同一用户。对于Android而言,这是一种十分重要的安全模式,因其可确保一款应用程序在沙盒中存储的敏感信息只能通过最早创建者的密匙来访问。 研究人员发现,Android漏洞允许黑客为已验证签名的APKs添加恶意代码,而无需破坏其签名。 值得一提的是,该漏洞至少自Android 1.6就已存在,已影响Android设备长达四年时间。 此外,黑客可通过发送电子邮件、上传至第三方应用商店、植入任何网站、通过USB复制等多种途径植入木马应用。其中,利用第三方应用商店来植入恶意代码的方式目前已被证实。
|
正在阅读:安卓漏洞被用于窃取数据 影响长达四年安卓漏洞被用于窃取数据 影响长达四年
2013-07-04 16:43
出处:PConline原创
责任编辑:luofushan