网络安全 频道

影响99%Android手机漏洞已被发现

        【IT168 资讯】7月26日消息,早前有信息安全研究人员披露了一个新的 Android 手机漏洞,该漏洞可能让已安装的应用程序在用户不知情的状况下遭到窜改。几乎所有 Android 设备都受到影响,因为此漏洞从 Android 1.6(甜甜圈)版本即已存在,目前仅有 Samsung Galaxy S4 修正了这项问题。

  此漏洞(有人称之为“Master Key”密钥漏洞)吸引了大批媒体关注,但并非所有的媒体报导都正确。这到底是怎么回事,这是什么样的威胁,以及用户该做些什么。

影响99%Android手机漏洞已被发现

  什么是“Master Key”密钥漏洞?

  此漏洞与 Android 应用程序的签名方式有关。所有的 Android 应用程序都内含一个开发商提供的数字签名,用来证明该程序“的确”来自该厂商,并且在传输过程中未被窜改。当应用有新版发布时,除非新的版本也有来自同一开发商的数字签名,否则就无法更新。

  此漏洞正是和这最后一个步骤有关。研究人员发现,歹徒即使“没有”原始开发商的签名密钥,也能更新系统已安装的应用程序。简而言之,任何已安装的程序都可能被更新成恶意版本。

  请注意,从技术角度来说,并没有所谓的密钥遭到外泄。当然,任何应用程序都可能被窜改并用于恶意用途,但这当中并不是因为“密钥”外泄。

  有何风险?

  此漏洞可让歹徒将 Android 设备上原本正常的应用程序换成恶意软件。一些拥有许多设备权限的应用程序,例如手机制造商或电信运营商提供的应用程序,尤其容易成为目标。

  这类程序一旦进入设备,它们的行为就像任何恶意应用程序一样,只不过用户会以为它们是完全正常的程序。例如,一个遭到窜改/木马化的网络银行应用程序,还是能像往常一样运作,但用户输入的账号密码可能就会被歹徒所窃取。

  用户如何保护自己?

  趋势科技已经更新了移动设备应用程序信誉评等数据库,可检测专门攻击这项漏洞的应用程序,但目前尚未发现任何这类程序。尽管如此,我们已针对趋势科技移动安全软件个人版发布了最新的病毒特征,确保我们能够检测到专门攻击此漏洞的应用程序(用户只要更新到 1.513.00 或更新版本的病毒库就能安全无虞,所有攻击此漏洞的应用程序都将被检测为 Android_ExploitSign.HRX)。如此已足够确保我们的用户不受此威胁影响。

  趋势科技强烈建议用户关闭安装非 Google Play 来源应用程序的功能。这项设定在 Android 系统“设定”当中的“安全性”选项内。

  Google 已经采取了一些措施来保护用户。他们修改了在线商店的后台系统,任何想利用此漏洞的应用程序都会被封锁。因此用户只要不从其他第三方来源下载应用程序,也不要自行安装 APK 文件,就不会有此风险。该公司也提供了一个更新程序来解决这项漏洞,并已提供给 OEM 厂商。我们希望这项修正的急迫性可以让部署不要受到延迟。

  更新

  我们找到了一篇有关同一攻击使用另一种手法来略过 Android 签名检查机制的报导,这项手法使用的是 Java Zipfile 实例中的一个漏洞。目前我们正在研究如何解决这项问题,所有使用此手法的恶意软件都将被检测为 AndroidOS_ExploitSign.HRXA。

0
相关文章