安卓系統再曝簽名漏洞 國內超九成用戶受影響
- 發佈時間:2014-08-01 08:29:05 來源:新華網 責任編輯:謝淩宇
安卓系統日前再曝系統簽名漏洞,這是繼2013年7月發現的簽名漏洞後,新發現的可以假冒正規應用的系統簽名漏洞。
360手機安全專家申迪表示,這一漏洞影響部分4.4及所有4.4以下版本的安卓系統,這意味著包括國內用戶在內的超過九成以上安卓手機用戶,都會受到影響。
據了解,該漏洞的出現根本問題在於Android校驗應用身份時採取的方式。
每一款Android應用都有自己的數字簽名,也就是ID卡。例如,某手機APP在Android上有一個指定簽名,而該應用開發商開發的所有程式都有一個基於該簽名的ID。
但安全專家發現,當一款應用亮出該公司ID時,Android不會向該應用開發商核實該ID的真實性。換句話説,不法分子可以利用假冒的簽名來開發惡意軟體,從而感染用戶的整個系統。
該問題並不局限于某一款APP,駭客可以創建一個假冒手機網銀APP的惡意軟體,然後訪問用戶的支付賬號和財務數據。
“目前來看,該漏洞可能會對”谷歌錢包“這類的支付應用産生較大威脅。”申迪説。
專家建議,在谷歌和手機廠商提供官方升級補丁修復此漏洞之前,用戶應定期更新手機衛士病毒庫,及時查殺利用該漏洞的惡意軟體,從而獲得臨時性保護。
