安全公司Bluebox Security发现,2010年Android 2.1以后的版本存在名为“假身份”(Fake ID)的漏洞,可能让恶意程序绕过Android的安全机制,假冒为合法的程序。一起来看看这个Android漏洞的危害原理与机制。
Bluebox公司技术部门负责人Jeff Forristal解释,Android应用安全依靠PKI机制,Android系统上一般应用程序要在获得凭证完成签名验证后,才可以在Android上执行。如果无法通过验证,就只能在Android沙箱环境下执行。然而有些应用,如Adobe Flash、Google Wallet等被视为信赖应用,其凭证是写入Android底层程序码中(AOSP),这种签名权限比较高,可以直接在Android系统中执行,比如Flash可以以当成webview外挂执行,Google Wallet可以存取NFC设备内的支付信息等等。有些设备则视3LM的设备管理软件为信赖应用。
Forristal指出,Fake ID漏洞可让恶意程序藉由取得信赖应用的签名,绕过Android内的安全验证机制执行,因此只要安装一个仿冒的应用程序,就可能遭受到黑客的恶意行为,比如利用Adobe Flash webview外挂执行权限注入木马程序、取得用户财务资料,或是取得整台Android设备的控制权限。
Fake ID最早出现在2010年一月发布的Android 2.1,所有执行2.1到代号为KitKat的Android 4.4 版系统的设备都会受到影响。Google已经在今年4月针对这个代码为13678484的Bug发布修补程序,并交给Android合作伙伴。Android 4.4由于在webview上做过修改而得以幸免于难。
Google除了已发布修补程序并交给Android合作伙伴,并已修补了AOSP,强化Google Play及Google的扫瞄软件Verify Apps。Google指出,公司已扫描过所有送交Google Play的应用,Google同时也检查非Google Play上架的应用,但目前并没有证据显示有针对该漏洞的攻击行为。
新闻热点
疑难解答
