近日,安卓系统连续出现高危签名漏洞,使黑客可以在不破坏数字签名的情况下篡改手机应用,进而可完全控制中招手机。虽然谷歌官方已经提供了相应补丁,但对手机用户来说还是要等待手机厂商来修复漏洞。安全专家表示,史上最强Android漏洞的出现对第三方应用市场来说是不小的考验,建议用户下载应用时提高警惕。据了解,360手机卫士已经可以查杀利用漏洞的恶意软件。
安全专家表示,这两个漏洞的原理虽然不同,但具有类似危害,可让黑客在不破坏或更换已验证数字签名的情况下,向原版应用中任意添加恶意代码,甚至包括安卓本身的系统应用。这意味着,任何一个安卓应用,即使通过了某些应用商店的安全审核,仍有可能藏有恶意代码。
据安全专家介绍,近期曝光的第一个签名漏洞已经存在四年之久,影响范围涉及99%的安卓设备。而第二个签名漏洞的发现,使安卓应用商店的现有安全验证机制面临严峻的考验。
第三方应用商店是手机应用安全的一道重要关卡,而这两个数字签名漏洞使部分应用商店的安全机制形同虚设,直接进入用户手机作恶。数据显示,中国较大的本土应用商店数量已经达到50个。安全专家表示,国内绝大部分安卓用户会通过第三方应用商店下载应用,此次曝光的签名漏洞势必会对国内的应用商店造成一定的影响。
安全专家指出,为提升手机用户的安全性,加强应用的审核机制势在必行。用户在下载应用时也要提高警惕,同时建议尽量不要从论坛等未经验证的渠道下载应用。
来源:CCTIME飞象网
