近期,Android(安卓)操作系统被曝存在一个系统级高危漏洞,99%的安卓设备面临巨大风险:黑客可在不破坏APP数字签名的情况下,篡改任何正常手机应用,并进而控制中招手机,实现偷账号、窃隐私、打电话或发短信等任意行为,从而使手机瞬间沦为“肉鸡”。360安全专家经深入分析,迅速找到并验证了该漏洞的确存在,且危害巨大,堪称“史上最严重”的安卓漏洞。截止发稿前,谷歌安卓公开源代码中仍未修正该漏洞。专家提醒,在谷歌官方补丁发布前,广大安卓用户可使用360手机卫士来识别和查杀利用该漏洞的恶意程序,从而获得临时的保护。
据360安全专家介绍,由国外媒体率先曝光的这一签名漏洞,存在于大部分安卓系统的安装校验机制中,因而会影响当前99%的安卓手机。利用该漏洞,黑客可在不破坏数字签名的前提下,篡改包括系统应用在内的任何正常应用的APK安装包文件代码,并植入任意恶意代码。
何谓数字签名?数字签名可以保证每个应用程序来源于合法的开发商,安卓系统的安全机制要求所安装的程序必须携带数字签名。凭此签名,系统就能判定一个程序的代码或者APK安装包文件是否被动过手脚。被篡改过的安装包因为无法产生与原始安装包相同的签名而无法实现对原应用的覆盖安装升级。这是整个安卓操作系统得以控制风险的一种至关重要的安全校验机制。
而这种安全校验机制在此次曝出的安卓签名漏洞面前已完全失效。360手机安全专家研究并验证了该漏洞的攻击原理,发现黑客可在不破坏或更换已验证数字签名的情况下,向原版应用中任意添加恶意代码,甚至包括安卓本身的系统应用。这意味着,任何一个安卓应用,即使通过了某些应用商店的安全审核,仍有可能藏有恶意代码。黑客也可以通过在论坛、社区发布APP安装包,通过QQ、微信、微博等社交工具,一对一发送给目标人群,定向作案。
利用这些被恶意篡改过的安装包,黑客可以完全控制中招手机,窃取通讯录、短信、通话记录、帐号密码等信息,还能完全控制手机发送短信、拨打电话甚至打开摄像头等,使中招手机彻底沦为一款超强间谍工具。例如,黑客可在不更换签名的情况下,将原版手机银行应用替换为植入了恶意代码的版本,从而轻松窃取他人的银行帐号和密码。黑客还能在不修改签名的情况下篡改微信等社交应用,盗号并肆意窃取用户隐私。而用户在安装或升级这类应用时,系统不会提示“签名不一致”,普通用户很难察觉到风险。
据悉,谷歌今年2月就已收到了上述漏洞信息,但并未就此作出公开回应,也没有给出官方补丁的发布日程表。同时,由于大部分安卓手机使用的均为非原生安卓系统,涉及全球数以万计的安卓手机厂商。因此,该漏洞在短期内得到谷歌官方大面积修复的可能性较低。而据曝料黑客宣称,将在今年8月于拉斯维加斯举行的Black Hat国际黑帽大会上公布漏洞细节。北京时间7月9日凌晨,360手机安全专家发现,利用该漏洞的的攻击代码已开始在国外网站散播。为此,360安全中心已紧急向工信部、国家互联网应急中心(CNCERT)等相关政府部门汇报了该漏洞的相关技术细节和危害。
360手机安全专家建议,在谷歌和手机厂商提供官方升级补丁修复此漏洞之前,用户应定期更新360手机卫士病毒库,及时查杀利用该漏洞的恶意软件。用户应从官方网站、360手机助手等正规、安全的渠道下载手机应用,以免下载到被恶意篡改的带毒程序。
文章来源:本站