|
|
||||||||
7月5日消息,據(jù)國外媒體報道,安全公司Bluebox稱,幾乎所有的安卓手機都存在一個漏洞,這個漏洞可以允許黑客控制手機撥出電話,發(fā)送信息或者建立移動僵尸網(wǎng)絡。
該公司首席技術(shù)官福萊斯特稱,這個漏洞從安卓1.6(Donut)開始就一直存在,并且在過去四年內(nèi)發(fā)布的安卓設備,也就是99%的安卓設備都受到影響。
這個風險可能比福萊斯特所宣稱的小一些,因為黑客必須使他們的惡意軟件先通過谷歌在“谷歌游戲商店”所設下的防御,而且現(xiàn)在并沒有證據(jù)表明有人正在利用安卓的這個漏洞。
福萊斯特稱,這個漏洞利用了安卓應用程序的加密驗證方法的“差異”。
安卓系統(tǒng)的開發(fā)者規(guī)定被安裝的應用程序必須有簽名證書,而這個證書的密鑰掌握在程序開發(fā)者手中。安卓系統(tǒng)使用這種簽名來判斷應用程序代碼或者APK文件是否被干擾——任何沒有簽名證書的應用程序都不會在用戶設備上被安裝或運行。
這個簽名系統(tǒng)也意味著,任何被應用程序儲存的敏感信息都只存在于擁有簽名密鑰的版本中。但安卓系統(tǒng)的漏洞意味著,一個黑客能夠在不破解簽名的情況下改變該應用程序的代碼,這時安卓系統(tǒng)就會誤把這個應用程序當成是合法的。
福萊特斯稱,“根據(jù)應用程序種類的不同,黑客可以利用這個漏洞偷竊數(shù)據(jù),也可以建立一個移動僵尸網(wǎng)絡?!?/p>