Android系統爆重大安全漏洞 可創造虛假ID

        根據今日發布的一項研究，谷歌的安卓操作系統可能存在安全漏洞，這將使得黑客可以冒充被信任的應用程序并潛在的竊取你的手機或平板電腦信息。本 質問題在于安卓檢查——或者確切來說是不檢查——某些應用程序真實性的方式，因此這一漏洞也獲得了一個醒目的名字——“假 ID”，做公司移動數據保護的隱形公司 Bluebox Security 這樣說道。

        驗證身份是在線網絡最重要的問題之一，登陸某銀行賬戶的人是否就是賬戶所有者？總部位于舊金山的 Bluebox 公司主要是幫助公司保護移動設備上的數據，公司員工也在調查和理解 Bluebox 所基于的移動操作系統構架，公司首席技術官杰夫·佛利斯塔爾(Jeff Forristal)這樣表示。

        每一個安卓應用程序都有自己的數字簽名，本質上來說就是一張 ID 卡。例如 Adobe 系統在安卓系統上有一個特殊的簽名，所有 Adobe 的程序都有基于這一簽名的 ID。Bluebox 公司發現，當一個應用程序閃射一個 Adobe ID，安卓并不會與 Adobe 核查這是否是真實的 ID。這意味著一個惡意用戶可以基于 Adobe 的簽名創造一個惡意軟件并植入你的系統。

        這個問題并不只是 Adobe 系統特有，黑客可以創造一個惡意應用程序冒充谷歌錢包，然后獲得付款和財務數據。相同的問題也出現在某些設備上的管理軟件，這使得黑客可以完全控制整個系統。

        “本質上來說，我們發現了一種制造虛假 ID 的方法，”佛利斯塔爾這樣說道。“很多黑客都能夠創造假 ID 卡，但問題是他們創造的是哪一種虛假 ID 卡？”這一缺陷會影響安卓 2.1 以上系統，盡管最新的系統 4.4 或者稱 KitKat 已經修復了這一漏洞，因為這個系統與 Adobe 相關，據 Bluebox 表示。從 2012 年至 2013 年，大約 14 億新的設備裝有安卓操作系統，據市場研究機構 Gartner 公司表示。Gartner 估計今年將有 11.7 億個安卓設備。

        安卓系統的這一弱點展示了安全研究人員和谷歌是如何處理軟件或者程序里發現的漏洞。它還暗示了處理影響安卓系統的弱點的復雜性，因為修復需要的不僅僅是谷歌的相關調整，它還涉及不同的軟件開發者和設備制造商。

        據佛利斯塔爾表示，Bluebox 在三月下旬完成了這項調研并于 3 月 31 日將漏洞遞交給谷歌。安卓安全小組在 4 月開發了修復的方法并將補丁交給供應商，在 Bluebox 發布它們的發現之前，供應商有 90 天的時間實施這一修復。Bluebox 已經測試了市場里 6300 多個產品里的 40 個安卓設備。Bluebox 計劃在下周美國拉斯維加斯召開的“黑帽”安全技術大會上討論他們的發現。

                    <span id="shareA4" class="fl">                            
                        </span>