|
||||
7月9日消息,近期,Android(安卓)操作系統被曝存在一個系統級高危漏洞,99%的安卓設備面臨巨大風險:黑客可在不破壞APP數字簽名的情況下,篡改任何正常手機應用,並進而控制中招手機,實現偷賬號、竊隱私、打電話或發短信等任意行為,從而使手機瞬間淪為『肉雞』。360安全專家經過分析,找到並驗證了該漏洞的確存在,且危害巨大,堪稱『史上最嚴重』的安卓漏洞。截止發稿前,谷歌安卓公開源代碼中仍未修正該漏洞。專家提醒,在谷歌官方補丁發布前,廣大安卓用戶可使用360手機衛士來識別和查殺利用該漏洞的惡意程序,從而獲得臨時的保護。
據360安全專家介紹,由國外媒體率先曝光的這一簽名漏洞,存在於大部分安卓系統的安裝校驗機制中,因而會影響當前99%的安卓手機。利用該漏洞,黑客可在不破壞數字簽名的前提下,篡改包括系統應用在內的任何正常應用的APK安裝包文件代碼,並植入任意惡意代碼。
何謂數字簽名?數字簽名可以保證每個應用程序來源於合法的開發商,安卓系統的安全機制要求所安裝的程序必須攜帶數字簽名。憑此簽名,系統就能判定一個程序的代碼或者APK安裝包文件是否被動過手腳。被篡改過的安裝包因為無法產生與原始安裝包相同的簽名而無法實現對原應用的覆蓋安裝昇級。這是整個安卓操作系統得以控制風險的一種至關重要的安全校驗機制。
而這種安全校驗機制在此次曝出的安卓簽名漏洞面前已完全失效。360手機安全專家研究並驗證了該漏洞的攻擊原理,發現黑客可在不破壞或更換已驗證數字簽名的情況下,向原版應用中任意添加惡意代碼,甚至包括安卓本身的系統應用。這意味著,任何一個安卓應用,即使通過了某些應用商店的安全審核,仍有可能藏有惡意代碼。黑客也可以通過在論壇、社區發布APP安裝包,通過QQ、微信、微博等社交工具,一對一發送給目標人群,定向作案。
利用這些被惡意篡改過的安裝包,黑客可以完全控制中招手機,竊取通訊錄、短信、通話記錄、帳號密碼等信息,還能完全控制手機發送短信、撥打電話甚至打開攝像頭等,使中招手機徹底淪為一款超強間諜工具。例如,黑客可在不更換簽名的情況下,將原版手機銀行應用替換為植入了惡意代碼的版本,從而輕松竊取他人的銀行帳號和密碼。黑客還能在不修改簽名的情況下篡改微信等社交應用,盜號並肆意竊取用戶隱私。而用戶在安裝或昇級這類應用時,系統不會提示『簽名不一致』,普通用戶很難察覺到風險。
據悉,谷歌今年2月就已收到了上述漏洞信息,但並未就此作出公開回應,也沒有給出官方補丁的發布日程表。同時,由於大部分安卓手機使用的均為非原生安卓系統,涉及全球數以萬計的安卓手機廠商。因此,該漏洞在短期內得到谷歌官方大面積修復的可能性較低。而據曝料黑客宣稱,將在今年8月於拉斯維加斯舉行的Black Hat國際黑帽大會上公布漏洞細節。北京時間7月9日凌晨,360手機安全專家發現,利用該漏洞的的攻擊代碼已開始在國外網站散播。為此,360安全中心已緊急向工信部、國家互聯網應急中心(CNCERT)等相關政府部門匯報了該漏洞的相關技術細節和危害。
360手機安全專家建議,在谷歌和手機廠商提供官方昇級補丁修復此漏洞之前,用戶應定期更新360手機衛士病毒庫,及時查殺利用該漏洞的惡意軟件。用戶應從官方網站、360手機助手等正規、安全的渠道下載手機應用,以免下載到被惡意篡改的帶毒程序。