近日,号称影响99%安卓设备,被称为“史上最强Android漏洞”被发现的消息引起广泛关注。黑客利用该漏洞可以在不改变Android APP数字签名的情况下,随意在手机应用中植入恶意代码,这将给Android系统判断APP可靠性带来极大麻烦。
有安全专家认为,这一漏洞让Android的数字签名机制形同虚设,一旦被大规模利用,Android安全性面临前所未有的挑战。目前,利用360手机卫士等安全软件可以检测应用是否被篡改,并查杀包含恶意代码的被篡改应用,这也是目前防御该漏洞攻击的最有效方式。
据360手机安全专家介绍,APP数字签名主要是为了防止恶意软件入侵,未经任何签名的应用很难通过市场被下载安装,因此,签名保证了每个应用程序都来源于合法开发商。但这种安全校验机制在Android“签名漏洞”面前已全面失效。黑客利用该漏洞可以在不破坏数字签名的情况下,向原版应用内任意添加恶意代码,甚至系统应用也不例外。换句话说,黑客所做的破坏行为很可能要由官方原版应用的开发商来为其“买单”。
有专家担心,黑客一旦利用该漏洞发动全民攻击,则可能构建庞大的手机“僵尸网络”,完全掌控用户手机,如对外群发诈骗短信、拨打骚扰电话,甚至偷偷开启摄像头等,使手机彻底沦为黑客的超强间谍工具。此外,中招手机中的通讯录、短信、通话记录、网银及银行账号等更易被黑客信手拈来。
与此同时,利用该漏洞的攻击代码已开始在国外网站散播。有消息称,目前谷歌官方正在对这一严重漏洞进行修补,但对于大多数普通安卓用户来说,即使官方发布了安全补丁,也很难得到谷歌官方的直接推送,而是需要耐心等待Android手机厂商的积极跟进和升级补丁。
鉴于该漏洞危害程度高,360手机安全中心已紧急向工信部、国家互联网应急中心(CNCERT)等相关政府部门汇报了该漏洞的相关技术细节和危害。360手机安全专家建议安卓用户,在漏洞修复前的“安全真空期”可使用最新版360手机卫士查杀利用该漏洞的恶意软件,同时尽量从应用官方网站或360手机助手等正规、可信的下载渠道下载应用,保护手机安全。
