安卓系統心臟再流血 新安全漏洞危及九成用戶
責編:admin |2014-07-31 14:32:59據稱該漏洞存在于安卓4.4以前的所有版本,最易受攻擊的是手機錢包類應用
谷歌公司的安卓操作系統近日被安全專家發現存在一項致命安全漏洞,黑客可以借此假冒受信任的正規應用,從而劫持用戶的智能手機或平板電腦,用戶的隱私資料和財務數據都有可能被輕易竊取,受波及的設備數量超過十億臺。
今年3月已知悉漏洞存在的谷歌公司對事件反應冷淡,稱“沒有證據顯示有人試圖利用該漏洞”,但國內安全專家警告說,這一漏洞影響范圍超過9成安卓用戶,且最易受攻擊的是手機錢包類應用,危害性不容忽視。
谷歌對該漏洞冷淡以對
外國安全公司Bluebox Security周二在一份報告中表示,每一款安卓應用都有自己的數字簽名,也就是ID。但Bluebox卻發現,當一款應用亮出ID時,安卓系統并不會核實該ID的真實性。
換句話說,網絡犯罪分子可以利用假冒的簽名來開發惡意軟件,從而感染用戶的系統。譬如說,黑客可以創建一個假冒銀行客戶端軟件,從而直接偷取用戶的支付賬號和財務數據。系統管理軟件也會存在同樣的問題,使得黑客能夠控制整個系統。
Bluebox表示,該漏洞存在于Android 4.4以前的所有版本,受影響設備數量驚人。根據美國市調機構Gartner的估算,2012年至2013年間,新出貨的安卓設備高達14億部,預計今年出貨量還將增加11.7億部。
Bluebox還透露,該公司在今年3月末即將漏洞提交給谷歌,安卓安全團隊4月開發了一個解決方案并提交給了相關廠商,但據Bluebox日前對大約40款安卓設備的隨機測試發現,只有一家廠商修補了該漏洞。
谷歌公司回應稱,已經掃描了所有提交給Google Play的應用,以及谷歌在Google Play之外評估的應用,目前沒有發現任何證據顯示,有人試圖利用該漏洞。
安全軟件廠商暫無解決方案
谷歌與硬件廠商對事件反應的冷淡,不免讓人聯想到今年4月時曾引發一場互聯網風暴的“心臟流血”漏洞。
在當時,一個名為“心臟流血”的互聯網服務器漏洞首次被公之于眾,攻擊者能據此從服務器內存中讀取包括用戶名、密碼和信用卡號等隱私信息在內的數據。由于全球有大約62萬臺服務器存在此漏洞,當中包括大部分的網絡銀行和電商網站,整個互聯網都被動員起來修補漏洞,用戶也爭相上網修改關鍵賬號及密碼。
一個月后,已有一半的服務器修復了“心臟流血”漏洞,但在此之后,人們似乎又“好了傷疤忘了痛”,6月底時再次調查發現,仍有近31萬臺服務器及數百萬臺之多的安卓設備處于無保護狀態。
360安全專家申迪昨日對記者表示,這個漏洞影響范圍超過9成安卓用戶,包括國內用戶。主要威脅之一是使用了webview組件的應用存在隱私數據失竊、被惡意監控的危害,另外就是攻擊者能靜默獲得NFC的控制權限,可能會對谷歌錢包類的支付應用產生威脅。
到記者截稿時止,幾大主流手機安全軟件廠商均向記者表示,漏洞剛公布,還沒有拿到技術細節,暫時也沒有針對性解決方案。幸運的是,這種攻擊需要用戶安裝惡意APK(安卓應用安裝文件)才會觸發,所以他們給用戶的建議還是盡可能從正規渠道下載應用。