研究人员发现,过去四年中,这一漏洞普遍存在,黑客可修改任何应用的合法数字签名,将其改造成一个木马程序来盗取数据或者控制操作系统。Bluebox发现了该漏洞,并计划于本月晚些时候在拉斯维加斯美国黑帽安全大会上披露更多细节。
这一漏洞源于Android应用加密验证方式的纰漏,其允许黑客在不破坏加密签名的情况下修改应用程序包(APKs)。
Bluebox的首席技术官Jeff Forristal指出,安装一款应用并为其创建一个沙盒后,Android将记录下该应用的数字签名,随后的升级需要匹配签名,以验证这些操作来自同一用户。对于Android而言,这是一种十分重要的安全模式,因其可确保一款应用程序在沙盒中存储的敏感信息只能通过最早创建者的密匙来访问。
研究人员发现,Android漏洞允许黑客为已验证签名的APKs添加恶意代码,而无需破坏其签名。
值得一提的是,该漏洞至少自Android 1.6、即甜甜圈版本就已存在,已影响Android设备长达四年时间。
Bluebox指出:“根据应用程序的类型,黑客能利用该漏洞来盗窃数据,或者是创建移动僵尸网络”。更为严重的是,如果黑客修改一款由设备制造商开发的预装应用,他们有可能控制整个系统。
Forristal表示:“如果有固件平台密匙,你就可以升级系统组件”。这样一来,恶意代码将长驱直入,可以访问所有应用、数据、账户、密码及网络,几乎可以操纵整个设备。”
此外,黑客可通过发送电子邮件、上传至第三方应用商店、植入任何网站、通过USB复制等多种途径植入木马应用。其中,利用第三方应用商店来植入恶意代码的方式目前已被证实。
不过,Forristal指出,利用Google Play不可能达成目标,因为谷歌已采取有效措施来防止类似问题发生。
更多阅读:
