【PConline 资讯】安卓爆出漏洞已经是司空见惯的事情,现在一个超大的安卓漏洞又被发现了!近日一份研究标明,安卓系统中存在一个严重的安全漏洞,攻击者可以伪造ID,冒充可信任的App窃取用户信息——这意味着攻击者能够利用虚假App冒充Google钱包这类支付软件,窃取用户付款等财务数据,非常危险。
据悉,安卓App都有自己的数字签名,相当于一张ID卡。比如说,Adobe系统在安卓系统上有一个特殊的签名,所有Adobe的程序都有基于这一签名的ID。现在,安全公司Blurbox发现,当某个App闪射一个Adobe ID,安卓并不会与Adobe核查这是否是真实的ID,这意味着一个恶意用户可以基于Adobe的签名创造一个恶意软件并植入你的系统。相同的问题也出现在其他App上,黑客很容易就可以利用虚假ID控制整个安卓系统。
不过幸运的是,这一漏洞已经在安卓4.4中得到修复。但考虑到安卓4.4的市场占有率并不高,所以该漏洞还是相当危险的。Google在今年的Google I/O大会上称,Google可以利用Google Play服务升级来修补漏洞。不过,Google Play服务并没有覆盖到所有的安卓设备,起码在中国大陆这一块就是盲区,安卓的安全性提升仍然任重道远。
Bluebox在今年三月下旬完成了这项调研并于3月31日将漏洞递交给了Google,而安卓安全小组在4月开发了修复的方法并将补丁交给供应商,在Bluebox发布它们的发现之前,供应商有90天的时间实施这一修复。目前尚未知道有多少供应商已经修复了该漏洞,Bluebox计划在下周美国拉斯维加斯召开的“黑帽”安全技术大会上讨论他们的发现。