近日,国外媒体曝出安卓系统存在高危漏洞,使99%的安卓设备都处于危险当中。通过该漏洞,黑客可在不破坏APP数字签名的情况下,篡改任意手机应用。而中招的手机用户则会面临账号被盗、隐私泄露等安全隐患。截止目前为止,谷歌安卓最新公开源代码中仍未对其进行修正,有专家甚至表示该漏洞在短期被修复的希望不大。不过,国产手机安全软件360手机卫士已率先实现识别并查杀利用该漏洞的恶意程序。
据360手机安全专家介绍,数字签名是安卓安全机制中非常重要的一环,通过数字签名可以保证每个应用程序来自于合法的开发商。但此次曝出的漏洞却可以让黑客在植入恶意代码时不会破坏数字签名,安卓系统在安装应用时不会对其进行校验。用户在安装被篡改的应用时,安卓系统并不会提示用户“签名不一致”等警示信息。
据了解,通过这些被篡改过的应用,黑客可以完全控制中招手机,窃取通讯录、短信、通话记录、帐号密码等信息,还能控制手机发送短信、拨打电话甚至打开摄像头等,使中招手机彻底沦为一款间谍工具。如果黑客将恶意代码植入某款支付类应用中,用户就可能面临财产损失的威胁。随意发送短信也存在极大的隐患,简单几条短信就可能将用户的亲友置于诈骗陷阱中,使危害范围进一步扩大。
7月9日凌晨,360手机安全中心发现,该漏洞的攻击代码已开始在国外网站传播,并有大幅蔓延趋势。由于此漏洞影响范围广、危害极大,为防患于未然,360安全中心已紧急向工信部、国家互联网应急中心(CNCERT)等相关政府部门汇报了该漏洞的相关技术细节和危害。与此同时,360手机安全专家建议,在谷歌推出官方补丁前,可使用360手机卫士对下载应用进行检测,以防利用该漏洞的恶意程序装进手机。
文章来源:未知