压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　之前被忽視的安卓系統(tǒng) “假ID簽名”漏洞日前再顯危害鋒芒。知名程序員網(wǎng)站CSDN技術(shù)人員測試發(fā)現(xiàn)，將真的簽名證書和假簽名證書一同打包到支付寶APK文件中，然后用國內(nèi)三家安全軟件檢測，結(jié)果該漏洞騙過了360手機(jī)衛(wèi)士的檢測。騰訊手機(jī)管家安全專家提醒，用戶需提升手機(jī)支付安全意識(shí)，建議一方面不要到非安全電子市場下載應(yīng)用，另外要安裝靠得住的手機(jī)安全軟件保護(hù)支付安全。

　　在今年7月底安卓系統(tǒng)曝出的“假ID簽名”漏洞當(dāng)時(shí)并未引起太多關(guān)注，因?yàn)橛邪踩治鰩熣J(rèn)為，這一漏洞只是針對Adobe系統(tǒng)的相關(guān)應(yīng)用，而其他應(yīng)用不受影響。

　　也有安全分析師認(rèn)為，“假ID簽名”并非只是存在于Adobe系統(tǒng)相關(guān)應(yīng)用，本質(zhì)上是創(chuàng)造了一種制造虛假ID簽名的方法，如果將這一方法應(yīng)用于“二次打包”熱門應(yīng)用，將可能騙過安全軟件檢測，這將嚴(yán)重危害手機(jī)用戶安全。

　　為了驗(yàn)證“假ID簽名”漏洞的厲害，CSDN技術(shù)人員先構(gòu)造了一個(gè)虛假簽名證書，然后將真的簽名證書和假簽名證書一同打包到支付寶APK文件中。然后分別利用騰訊手機(jī)管家、豌豆莢(洗白白)、360手機(jī)衛(wèi)士進(jìn)行檢測，結(jié)果騰訊手機(jī)管家、豌豆莢可識(shí)別出這是“山寨支付寶”，而“假ID簽名”漏洞騙過了360手機(jī)衛(wèi)士的檢測。

　　中國互聯(lián)網(wǎng)協(xié)會(huì)8月2日發(fā)布的《中國互聯(lián)網(wǎng)金融報(bào)告(2014)》顯示，2013年我國手機(jī)支付用戶規(guī)模達(dá)到1.25億，交易規(guī)模增長率為707%，遠(yuǎn)高于銀行卡收單、互聯(lián)網(wǎng)支付的增速。安全專家認(rèn)為，如果一些手機(jī)支付類、銀行類、電商類應(yīng)用被犯罪分子利用“假ID簽名”漏洞進(jìn)行二次打包，誘騙用戶安裝，這將直接導(dǎo)致用戶財(cái)產(chǎn)損失。

　　CSND技術(shù)人員分析認(rèn)為，360手機(jī)衛(wèi)士被騙可能是其在對APK文件進(jìn)行安全驗(yàn)證的時(shí)候，只驗(yàn)證根證書或者只要匹配一個(gè)證書成功就可以了，這顯然會(huì)讓那些利用“假ID漏洞”偽造簽名證書的應(yīng)用成為漏網(wǎng)之魚。

　　對此，騰訊手機(jī)管家安全專家提醒廣大手機(jī)用戶：

　　首先，不要到非安全電子市場下載應(yīng)用。一些山寨類手機(jī)應(yīng)用都被放在手機(jī)論壇、非安全電子市場偽裝成熱門應(yīng)用提供下載，用戶最好到應(yīng)用的官方站點(diǎn)、有安全檢測的電子市場，比如騰訊手機(jī)管家“軟件管理”、應(yīng)用寶等下載應(yīng)用。

　　其次，安裝專業(yè)手機(jī)安全軟件。目前，各大手機(jī)安全軟件都推出支付安全功能，為手機(jī)網(wǎng)購支付提供安全支付環(huán)境檢測、山寨應(yīng)用檢測等服務(wù)，騰訊手機(jī)管家可以有效的檢測出利用“假ID簽名”方法二次打包的山寨應(yīng)用，習(xí)慣手機(jī)網(wǎng)購支付的用戶應(yīng)下載安裝