Android被发现存在假冒应用身份的安全漏洞
2014-07-30 13:07:15   来源:搜狐IT   评论:0 点击:

导读: 7月30日,据商业周刊网站报道,移动安全技术厂商Bluebox Security(以下简称Bluebox)今天发表研究报告称,Android移动操作系统存在一处
    7月30日,据商业周刊网站报道,移动安全技术厂商Bluebox Security(以下简称“Bluebox”)今天发表研究报告称,Android移动作系统存在一处安全漏洞,黑客可以利用该缺陷“冒充”可信赖的应用,或者“挟持”用户的平板电脑

  据Bluebox称,问题出在Android检查应用“身份”的方式上。验证身份是网络世界最基本的问题之一。每款Android应用都有自己的数字签名——相当于身份证。

  例如,Adobe在Android平台上有一个特定的签名,它发布的所有应用都有一个基于其签名的“身份证”。Bluebox发现,当一款应用携带有Adobe“身份证”后,Android不向Adobe复验应用的真实“身份”。这意味着黑客可以利用Adobe的签名开发恶意应用,然后使恶意应用“入侵”用户的系统。

  这一问题并非只有Adobe存在。黑客可以开发冒充Google钱包的恶意应用,窃取用户的财务资料和钱财。部分设备上的管理软件也存在相同的问题,使黑客能控制整个系统。

  Bluebox首席技术官杰夫•弗里斯托(Jeff Forristal)说,“我们已经基本上发现了创建假冒‘身份证’的方法,多个不同的领域都存在创建假冒身份的问题。”

  假冒身份缺陷影响包括Android 2.1(发布时间是2010年1月份)及以上版本,Android 4.4 KitKat已经修正了该缺陷。市场研究公司Gartner的数据显示,在2012-2013年,Android设备销量约为14亿,预计今年Android设备销量将达到11.7亿。这些数据从侧面反映了假冒身份缺陷的影响范围之广。

  Google发言人克里斯托弗•卡特萨洛斯(Christopher Katsaros)说,“我们对Bluebox负责任地向我们报告这一缺陷表示赞赏,第三方研究是提高Android安全性的一个途径。”

  假冒身份缺陷的披露表明了安全研究人员和Google合作披露安全缺陷的方式,它还表明了修正Android缺陷的复杂性,因为补丁软件不仅需要得到Google,还需要得到应用开发商和设备厂商的参与。

  弗里斯托称,Bluebox 3月末完成了假冒身份缺陷的研究工作,3月31日向Google通报了该缺陷。Android安全团队4月份开发了补丁软件,并发布给厂商,厂商有90天时间部署补丁软件,而后Bluebox才对外披露了该缺陷。Bluebox对约40款Android设备进行了测试,发现迄今为止只有一家厂商部署了修正假冒身份缺陷的补丁软件。

  卡特萨洛斯指出,Google Play和Verify Apps已经采取措施,保护用户不会受到假冒身份缺陷的影响,“我们对提交给Google Play的应用,以及Google评估的非Google Play应用进行了扫描,没有发现尝试利用该缺陷的应用”。

相关热词搜索:二季度

上一篇:方兴东:公职人员应禁用苹果手机
下一篇:招行网银被爆存在漏洞 已向平台乌云确认

分享到: 收藏