新發現的漏洞令黑客有可能控制接管 99% Android 設備
移動安全公司Bluebox 今天宣布發現了Android 系統的一個特大漏洞,涉及到過去4 年間發布的Android 設備(目前全球約有9 億台Android 設備)。該漏洞可令黑客讀取用戶數據、獲取密碼,並控製手機的任何功能,包括發送短信、撥打電話或打開攝像頭等。
Bluebox CTO Jeff Forristal 在博客中說,木馬可以讀取設備上任意手機應用的數據(電子郵件、短信、文檔等),獲取保存在手機上的所有賬號和密碼,接管並控製手機的正常功能。
Bluebox 稱漏洞歸咎於對不同的Android 應用的許可和驗證方式的“差異”,黑客可在不改變應用密鑰簽名的情況下篡改APK(安裝包)代碼,這意味著任何看似合法安全的應用均有可能內嵌有惡意代碼。 Forristal 稱今年2 月已將這個bug 披露給Google,同時他將會在Black Hat USA 2013上披露這個漏洞的具體細節。
上圖是被感染的設備製造商應用,應用可完全訪問設備任何功能。圖中基帶版本(Baseband version)已被改為“bluebox”
但問題是由於Android 的碎片化以及Android 設備製造商和移動運營商不是很經常進行更新,許多Android 設備並沒有運行最新版的Android 系統,而且用戶不能自行更新。所以眾多Android 設備存在大面積感染的可能。
亞洲情況可能尤其嚴重,因為該地區有500 多個獨立的Android 應用商店,這些應用商店很少或沒有對應用上架進行鑑權驗證的過程。
Bluebox 說,無法確認自己設備更新狀態的用戶必須加倍小心,同時要確保驗證安裝應用的發行商是否合法安全。此外,只從Google Play 安裝應用也是一個好的規避風險的辦法,因為至少Google 還是有一定的能力來驗證應用的。
資料來源:36Kr
Bluebox CTO Jeff Forristal 在博客中說,木馬可以讀取設備上任意手機應用的數據(電子郵件、短信、文檔等),獲取保存在手機上的所有賬號和密碼,接管並控製手機的正常功能。
Bluebox 稱漏洞歸咎於對不同的Android 應用的許可和驗證方式的“差異”,黑客可在不改變應用密鑰簽名的情況下篡改APK(安裝包)代碼,這意味著任何看似合法安全的應用均有可能內嵌有惡意代碼。 Forristal 稱今年2 月已將這個bug 披露給Google,同時他將會在Black Hat USA 2013上披露這個漏洞的具體細節。
上圖是被感染的設備製造商應用,應用可完全訪問設備任何功能。圖中基帶版本(Baseband version)已被改為“bluebox”
但問題是由於Android 的碎片化以及Android 設備製造商和移動運營商不是很經常進行更新,許多Android 設備並沒有運行最新版的Android 系統,而且用戶不能自行更新。所以眾多Android 設備存在大面積感染的可能。
亞洲情況可能尤其嚴重,因為該地區有500 多個獨立的Android 應用商店,這些應用商店很少或沒有對應用上架進行鑑權驗證的過程。
Bluebox 說,無法確認自己設備更新狀態的用戶必須加倍小心,同時要確保驗證安裝應用的發行商是否合法安全。此外,只從Google Play 安裝應用也是一個好的規避風險的辦法,因為至少Google 還是有一定的能力來驗證應用的。
資料來源:36Kr