安卓新漏洞 黑客利用虚假ID入侵设备

[摘要]最根本的问题出在了安卓系统对应用软件“ID”的审查方式上。

腾讯数码讯（编译：Newsboy）移动安全公司Bluebox近期在其研究报告中指出，谷歌安卓移动操作系统存在新的安全漏洞，黑客可利用该漏洞“伪装”成安全应用软件，从而入侵用户的智能手机和平板电脑。

Bluebox在报告中指出，最根本的问题出在了安卓系统对应用软件“ID”的审查方式上，或者谷歌根本就不去审查应用软件的身份。Bluebox将此漏洞描述为 “虚假ID”。

总部位于旧金山的Bluebox公司首席技术官杰夫·佛利斯塔尔(JeffForristal)表示，该公司主要是帮助公司保护移动设备上的数据，该公司员工也在调查和理解Bluebox所基于的移动操作系统构架。

验证“ID”是互联网世界最重要的问题之一。就像有了银行账号和密码就可以登陆该银行账户一样，每个应用软件也有自己的数字签名——“ID卡”。比如，Adobe在安卓平台上有一个特定的数字签名，Adobe所发布的所有应用软件都是在这个数字签名基础上分配“ID”。Bluebox发现，当某款应用上携带了Adobe“ID”，安卓系统并不会核实这个ID的真实性。这也就意味着，黑客可利用此漏洞伪造出Adobe的数字签名，并编写恶意代码植入软件中，从而对用户设备展开“入侵”。 这种漏洞并非只针对Adobe：黑客可以开发携带恶意病毒的应用软件，“冒充”谷歌钱包，然后获取用户支付和财务数据。同样的问题也存在于设备上的管理软件中，黑客可控制整个系统。

佛利斯塔尔表示：“我们已发现了一种创建虚假ID的方法， 但是目前还不清楚，黑客到底创建的是哪一种虚假ID卡。”

Bluebox表示，这一漏洞将会影响到安卓2.1及以上系统。不过，谷歌4.4系统已经修复了这一漏洞。根据市场研究机构Gartner提供的数据，从2012年至2013年，配安卓操作系统的新设备出货量达到了14亿部左右。Gartner预期今年将有11.7亿部安卓设备出货量。

谷歌发言人克里斯多夫·卡特萨洛斯(Christopher Katsaros)表示：“我们非常感谢Bluebox能够很负责地将这一漏洞通知我们，第三方研究是提高安卓系统安全性、保护用户隐私的有效途径之一。”

想要解决安卓系统中所存在漏洞，主要还是看安全研究人员和谷歌处理软件或者程序里所发现漏洞的方法。同时，这也表明了处理安卓系统漏洞的“复杂性”，因为修复漏洞不光需要来自谷歌的努力，还要涉及不同软件开发者和硬件设备制造商。

佛利斯塔尔表示，他们已经在今年三月下旬时完成了这项研究，并在3月31日将此漏洞提交给了谷歌。安卓安全小组在4月开发出了补丁，并将其提供给供应商，后者在Bluebox将此漏洞公布于众前，有90天的时间来向用户推送补丁。Bluebox已经测试了40款安卓设备。该公司表示：“我们仅知道，只有一家设备供应商向用户提供了修复补丁。”

卡特萨洛斯表示，Google Play和Verify Apps已经采取措施来保护用户，使其免受虚假ID漏洞的影响。他表示：“现在，我们已对所有提交给Google Play的应用软件，以及来自Google Play之外，但受谷歌评估的应用软件进行扫描，我们并没有发现任何试图借此漏洞入侵用户设备的应用”。

跟谷歌所采取的措施不同，在今年年初，苹果发布了一份有关iOS安全的白皮书，上面写道：“我们在设计iOS时就已经开发出了一种新型安全措施，我们所开发的创新功能同时兼顾了安全和生态系统体验。”相比较谷歌，苹果设备在企业和政府领域的渗透速度要快很多。7月初，苹果和IBM宣布结盟，双方将合作来将苹果产品推向企业市场。

Bluebox计划在下周美国拉斯维加斯召开的“黑帽”安全技术大会上讨论他们的“发现”。

来源：Business week