根據今日發布的一項研究,谷歌的安卓操作系統可能存在安全漏洞,這將使得黑客可以冒充被信任的應用程序并潛在的竊取你的手機或平板電腦信息。本質問題在于 安卓檢查——或者確切來說是不檢查——某些應用程序真實性的方式,因此這一漏洞也獲得了一個醒目的名字——“假ID”,做公司移動數據保護的隱形公司Bluebox Security這樣說道。
驗證身份是在線網絡最重要的問題之一,登陸某銀行賬戶的人是否就是賬戶所有者?總部位于舊金山的Bluebox公司主要是幫助公司保護移動設備上的數據,公司員工也在調查和理解Bluebox所基于的移動操作系統構架,公司首席技術官杰夫·佛利斯塔爾(JeffForristal)這樣表示。
每一個安卓應用程序都有自己的數字簽名,本質上來說就是一張ID卡。例如Adobe系統在安卓系統上有一個特殊的簽名,所有Adobe的程序都有基于這一簽名的ID。Bluebox公司發現,當一個應用程序閃射一個Adobe ID,安卓并不會與Adobe核查這是否是真實的ID。這意味著一個惡意用戶可以基于Adobe的簽名創造一個惡意軟件并植入你的系統。這個問題并不只是Adobe系統特有,黑客可以創造一個惡意應用程序冒充谷歌錢包,然后獲得付款和財務數據。相同的問題也出現在某些設備上的管理軟件,這使得黑客可以完全控制整個系統。
“本質上來說,我們發現了一種制造虛假ID的方法,”佛利斯塔爾這樣說道。“很多黑客都能夠創造假ID卡,但問題是他們創造的是哪一種虛假ID卡?”這一缺陷會影響安卓2.1以上系統,盡管最新的系統4.4或者稱KitKat已經修復了這一漏洞,因為這個系統與Adobe相關,據Bluebox表示。從2012年至2013年,大約14億新的設備裝有安卓操作系統,據市場研究機構Gartner公司表示。Gartner估計今年將有11.7億個安卓設備。
安卓系統的這一弱點展示了安全研究人員和谷歌是如何處理軟件或者程序里發現的漏洞。它還暗示了處理影響安卓系統的弱點的復雜性,因為修復需要的不僅僅是谷歌的相關調整,它還涉及不同的軟件開發者和設備制造商。
據佛利斯塔爾表示,Bluebox在三月下旬完成了這項調研并于3月31日將漏洞遞交給谷歌。安卓安全小組在4月開發了修復的方法并將補丁交給供應商,在Bluebox發布它們的發現之前,供應商有90天的時間實施這一修復。Bluebox已經測試了市場里6300多個產品里的40個安卓設備。Bluebox計劃在下周美國拉斯維加斯召開的“黑帽”安全技術大會上討論他們的發現。
