安卓曝新漏洞:黑客可假冒正規(guī)應(yīng)用
文章分類:公司動(dòng)態(tài) 發(fā)布時(shí)間:2014-07-31 原文作者:tbkj 閱讀( )
周二發(fā)布的一份研究報(bào)告顯示,谷歌Android操作系統(tǒng)存在一項(xiàng)安全漏洞,可以讓黑客假冒受信任的正規(guī)應(yīng)用,從而劫持用戶的智能手機(jī)或平板電腦。
安全公司Bluebox Security在報(bào)告中表示,根本問題在于Android校驗(yàn)應(yīng)用身份時(shí)采取的方式。
驗(yàn)證身份是網(wǎng)絡(luò)世界中最根本的問題之一。例如,登錄銀行賬號(hào)的人是否是該賬號(hào)的所有者?某款應(yīng)用是否真如其所宣稱的那樣?總部位于舊金山的Bluebox的主要業(yè)務(wù)是幫助企業(yè)保護(hù)其移動(dòng)設(shè)備上的數(shù)據(jù)安全,因此該公司的員工正在研究和了解移動(dòng)操作系統(tǒng)的架構(gòu)。
每一款A(yù)ndroid應(yīng)用都有自己的數(shù)字簽名,也就是ID卡。例如,Adobe公司在Android上有一個(gè)指定簽名,而該公司開發(fā)的所有程序都有一個(gè)基于該簽名的ID。但Bluebox卻發(fā)現(xiàn),當(dāng)一款應(yīng)用亮出Adobe ID時(shí),Android不會(huì)卻向Adobe核實(shí)該ID的真實(shí)性。
換句話說,網(wǎng)絡(luò)犯罪分子可以利用假冒的Adobe簽名來開發(fā)惡意軟件,從而感染用戶的系統(tǒng)。當(dāng)然,該問題并不局限于Adobe:黑客還可以創(chuàng)建一個(gè)假冒谷歌錢包的惡意應(yīng)用,然后訪問用戶的支付賬號(hào)和財(cái)務(wù)數(shù)據(jù)。系統(tǒng)管理軟件也會(huì)存在同樣的問題,使得黑客能夠控制整個(gè)系統(tǒng)。
Bluebox表示,該問題會(huì)影響到2010年1月發(fā)布的Android 2.1系統(tǒng)及更高版本,但最近的Android 4.4奇巧系統(tǒng)已經(jīng)修復(fù)了與Adobe有關(guān)的漏洞。
但受影響的設(shè)備依然數(shù)量龐大,根據(jù)美國市場研究公司Gartner的測算,2012至2013年間,新出貨的Android設(shè)備高達(dá)14億部,預(yù)計(jì)今年的出貨量還將增加11.7億部。
“我們感謝Bluebox的認(rèn)真負(fù)責(zé),感謝他們將問題報(bào)告給我們。第三方研究一直是Android系統(tǒng)進(jìn)步的方式之一。”谷歌發(fā)言人克里斯多夫·凱特薩羅斯(Christopher Katsaros)說。
此次問題凸顯出安全研究人員與谷歌對(duì)安全漏洞的處理方式,但也表明這類問題十分復(fù)雜:不僅需要谷歌方面的協(xié)調(diào),還需要眾多開發(fā)者和設(shè)備制造商的配合。
Bluebox表示,該公司在今年3月末完成了這項(xiàng)研究,并在3月31日將漏洞提交給谷歌。Android安全團(tuán)隊(duì)于今年4月開發(fā)了一個(gè)解決方案,并提交給了相關(guān)廠商。因此,在Bluebox發(fā)布研究結(jié)果前,這些企業(yè)有90天的時(shí)間修補(bǔ)該漏洞。Bluebox已經(jīng)在大約6300款A(yù)ndroid設(shè)備中挑選了大約40款進(jìn)行測試,但似乎只有一家廠商修補(bǔ)了該漏洞。
谷歌發(fā)言人凱特薩羅斯表示,該公司已經(jīng)通過改進(jìn)Google Play和Verify Apps來提升安全性,讓用戶免受虛假ID問題的影響。
“我們已經(jīng)掃描了所有提交給Google Play的應(yīng)用,以及谷歌谷歌在Google Play之外評(píng)估的應(yīng)用,目前沒有發(fā)現(xiàn)任何證據(jù)顯示,有人試圖利用該漏洞。”凱特薩羅斯說。
Bluebox計(jì)劃在下周的黑帽黑客大會(huì)上討論這一問題,預(yù)計(jì)在此之前還將出現(xiàn)更多與安全問題有關(guān)的新聞。
安全公司Bluebox Security在報(bào)告中表示,根本問題在于Android校驗(yàn)應(yīng)用身份時(shí)采取的方式。
驗(yàn)證身份是網(wǎng)絡(luò)世界中最根本的問題之一。例如,登錄銀行賬號(hào)的人是否是該賬號(hào)的所有者?某款應(yīng)用是否真如其所宣稱的那樣?總部位于舊金山的Bluebox的主要業(yè)務(wù)是幫助企業(yè)保護(hù)其移動(dòng)設(shè)備上的數(shù)據(jù)安全,因此該公司的員工正在研究和了解移動(dòng)操作系統(tǒng)的架構(gòu)。
每一款A(yù)ndroid應(yīng)用都有自己的數(shù)字簽名,也就是ID卡。例如,Adobe公司在Android上有一個(gè)指定簽名,而該公司開發(fā)的所有程序都有一個(gè)基于該簽名的ID。但Bluebox卻發(fā)現(xiàn),當(dāng)一款應(yīng)用亮出Adobe ID時(shí),Android不會(huì)卻向Adobe核實(shí)該ID的真實(shí)性。
換句話說,網(wǎng)絡(luò)犯罪分子可以利用假冒的Adobe簽名來開發(fā)惡意軟件,從而感染用戶的系統(tǒng)。當(dāng)然,該問題并不局限于Adobe:黑客還可以創(chuàng)建一個(gè)假冒谷歌錢包的惡意應(yīng)用,然后訪問用戶的支付賬號(hào)和財(cái)務(wù)數(shù)據(jù)。系統(tǒng)管理軟件也會(huì)存在同樣的問題,使得黑客能夠控制整個(gè)系統(tǒng)。
Bluebox表示,該問題會(huì)影響到2010年1月發(fā)布的Android 2.1系統(tǒng)及更高版本,但最近的Android 4.4奇巧系統(tǒng)已經(jīng)修復(fù)了與Adobe有關(guān)的漏洞。
但受影響的設(shè)備依然數(shù)量龐大,根據(jù)美國市場研究公司Gartner的測算,2012至2013年間,新出貨的Android設(shè)備高達(dá)14億部,預(yù)計(jì)今年的出貨量還將增加11.7億部。
“我們感謝Bluebox的認(rèn)真負(fù)責(zé),感謝他們將問題報(bào)告給我們。第三方研究一直是Android系統(tǒng)進(jìn)步的方式之一。”谷歌發(fā)言人克里斯多夫·凱特薩羅斯(Christopher Katsaros)說。
此次問題凸顯出安全研究人員與谷歌對(duì)安全漏洞的處理方式,但也表明這類問題十分復(fù)雜:不僅需要谷歌方面的協(xié)調(diào),還需要眾多開發(fā)者和設(shè)備制造商的配合。
Bluebox表示,該公司在今年3月末完成了這項(xiàng)研究,并在3月31日將漏洞提交給谷歌。Android安全團(tuán)隊(duì)于今年4月開發(fā)了一個(gè)解決方案,并提交給了相關(guān)廠商。因此,在Bluebox發(fā)布研究結(jié)果前,這些企業(yè)有90天的時(shí)間修補(bǔ)該漏洞。Bluebox已經(jīng)在大約6300款A(yù)ndroid設(shè)備中挑選了大約40款進(jìn)行測試,但似乎只有一家廠商修補(bǔ)了該漏洞。
谷歌發(fā)言人凱特薩羅斯表示,該公司已經(jīng)通過改進(jìn)Google Play和Verify Apps來提升安全性,讓用戶免受虛假ID問題的影響。
“我們已經(jīng)掃描了所有提交給Google Play的應(yīng)用,以及谷歌谷歌在Google Play之外評(píng)估的應(yīng)用,目前沒有發(fā)現(xiàn)任何證據(jù)顯示,有人試圖利用該漏洞。”凱特薩羅斯說。
Bluebox計(jì)劃在下周的黑帽黑客大會(huì)上討論這一問題,預(yù)計(jì)在此之前還將出現(xiàn)更多與安全問題有關(guān)的新聞。
原文來自:tbkj