Android再曝新簽名漏洞 可偽造網(wǎng)銀APP

　　7月30日，安卓系統(tǒng)再曝新的高危系統(tǒng)簽名漏洞，360手機(jī)安全專家申迪稱，這是繼2013年7月發(fā)現(xiàn)的簽名漏洞后，最新發(fā)現(xiàn)的可以假冒正規(guī)應(yīng)用的系統(tǒng)簽名漏洞。雖然較之前的漏洞危害要小一些，但威脅依然非常巨大，影響部分4.4及所有4.4以下版本的安卓系統(tǒng)，這意味著包括國(guó)內(nèi)用戶在內(nèi)的超過(guò)九成以上安卓手機(jī)用戶，都會(huì)受到影響。

　　國(guó)外安全公司Bluebox Security在報(bào)告中表示，根本問(wèn)題在于Android校驗(yàn)應(yīng)用身份時(shí)采取的方式。驗(yàn)證身份是網(wǎng)絡(luò)世界中最根本的問(wèn)題之一。例如，登錄銀行賬號(hào)的人是否是該賬號(hào)的所有者?某款應(yīng)用是否真如其所宣稱的那樣?每一款A(yù)ndroid應(yīng)用都有自己的數(shù)字簽名，也就是ID卡。

　　例如，某手機(jī)APP在Android上有一個(gè)指定簽名，而該應(yīng)用開(kāi)發(fā)商開(kāi)發(fā)的所有程序都有一個(gè)基于該簽名的ID。但Bluebox卻發(fā)現(xiàn)，當(dāng)一款應(yīng)用亮出該公司ID時(shí)，Android不會(huì)卻向該應(yīng)用開(kāi)發(fā)商核實(shí)該ID的真實(shí)性。換句話說(shuō)，網(wǎng)絡(luò)犯罪分子可以利用假冒的簽名來(lái)開(kāi)發(fā)惡意軟件，從而感染用戶的整個(gè)系統(tǒng)。

　　嚴(yán)重的是該問(wèn)題并不局限于某一款A(yù)PP：黑客還可以創(chuàng)建一個(gè)假冒手機(jī)網(wǎng)銀APP的惡意軟件，然后訪問(wèn)用戶的支付賬號(hào)和財(cái)務(wù)數(shù)據(jù)。系統(tǒng)管理軟件也會(huì)存在同樣的問(wèn)題，使得黑客能夠控制整個(gè)系統(tǒng)。

　　360手機(jī)安全專家申迪表示，該問(wèn)題會(huì)影響到2010年1月發(fā)布的Android 2.1系統(tǒng)及更高版本，但最近的Android 4.4奇巧系統(tǒng)已經(jīng)修復(fù)了與Adobe有關(guān)的漏洞。不過(guò)仍然影響到部分4.4系統(tǒng)。這一影響覆蓋了超過(guò)九成以上的安卓手機(jī)用戶。

　　“該漏洞主要威脅之一是使用了webview(網(wǎng)頁(yè)瀏覽)組件的應(yīng)用存在隱私數(shù)據(jù)失竊、被惡意監(jiān)控的危害。另外就是攻擊者能靜默獲得NFC的控制權(quán)限，可能會(huì)對(duì)Google Wallet(谷歌錢包)這類的支付應(yīng)用產(chǎn)生威脅。雖然同是簽名相關(guān)的問(wèn)題，這個(gè)漏洞與Master Key相比，危害要小一點(diǎn)。”申迪表示。

　　如何防范?申迪指出由于這種攻擊需要安裝惡意APK才會(huì)觸發(fā)，所以只要下載應(yīng)用通過(guò)360手機(jī)助手這樣的整個(gè)渠道下載APP，不讓手機(jī)感染利用該漏洞的惡意程序。