近日,安卓系統(tǒng)連續(xù)出現(xiàn)高危簽名漏洞,使黑客可以在不破壞數(shù)字簽名的情況下篡改手機(jī)應(yīng)用,進(jìn)而可完全控制中招手機(jī)。雖然谷歌官方已經(jīng)提供了相應(yīng)補(bǔ)丁,但對手機(jī)用戶來說還是要等待手機(jī)廠商來修復(fù)漏洞。安全專家表示,史上最強(qiáng)Android漏洞的出現(xiàn)對第三方應(yīng)用市場來說是不小的考驗,建議用戶下載應(yīng)用時提高警惕。據(jù)了解,360手機(jī)衛(wèi)士已經(jīng)可以查殺利用漏洞的惡意軟件。
安全專家表示,這兩個漏洞的原理雖然不同,但具有類似危害,可讓黑客在不破壞或更換已驗證數(shù)字簽名的情況下,向原版應(yīng)用中任意添加惡意代碼,甚至包括安卓本身的系統(tǒng)應(yīng)用。這意味著,任何一個安卓應(yīng)用,即使通過了某些應(yīng)用商店的安全審核,仍有可能藏有惡意代碼。
據(jù)安全專家介紹,近期曝光的第一個簽名漏洞已經(jīng)存在四年之久,影響范圍涉及99%的安卓設(shè)備。而第二個簽名漏洞的發(fā)現(xiàn),使安卓應(yīng)用商店的現(xiàn)有安全驗證機(jī)制面臨嚴(yán)峻的考驗。
第三方應(yīng)用商店是手機(jī)應(yīng)用安全的一道重要關(guān)卡,而這兩個數(shù)字簽名漏洞使部分應(yīng)用商店的安全機(jī)制形同虛設(shè),直接進(jìn)入用戶手機(jī)作惡。數(shù)據(jù)顯示,中國較大的本土應(yīng)用商店數(shù)量已經(jīng)達(dá)到50個。安全專家表示,國內(nèi)絕大部分安卓用戶會通過第三方應(yīng)用商店下載應(yīng)用,此次曝光的簽名漏洞勢必會對國內(nèi)的應(yīng)用商店造成一定的影響。
安全專家指出,為提升手機(jī)用戶的安全性,加強(qiáng)應(yīng)用的審核機(jī)制勢在必行。用戶在下載應(yīng)用時也要提高警惕,同時建議盡量不要從論壇等未經(jīng)驗證的渠道下載應(yīng)用。
來源:CCTIME飛象網(wǎng)
