近日安卓系统遭国外安全机构曝光一个最新的“签名”漏洞,也是安卓第三个“签名”漏洞。据360手机安全专家介绍,利用“签名”漏洞,黑客可在不破坏数字签名的情况下把木马植入手机应用内,实现偷账号、窃隐私、打电话或发短信等恶意行为,对此360手机卫士已紧急更新防护规则,率先拦截查杀利用该漏洞作恶的手机木马。
图:360手机卫士查杀利用“签名”漏洞寄生正常应用的手机木马
据了解,数字签名是安卓系统判定一个程序是否被动过手脚的重要的依据,被篡改过的安装包通常会因为数字签名不正确而无法安装。这是整个安卓操作系统得以控制风险的一种至关重要的安全校验机制,也是众多安卓市场审核应用的一个重要指标。因此安卓“签名”漏洞也被业界普遍视为高危漏洞,迄今已是第三次出现此类漏洞,虽然安卓最新的4.4版本修复了此漏洞,但由于谷歌以外的手机厂商均没有发布4.4版本ROM,所以超过99%安卓用户仍存在风险。
经360安全中心分析验证,利用最新曝出的安卓签名漏洞,黑客可在不破坏数字签名的情况下,向原版应用中任意添加恶意代码,甚至可篡改安卓本身的系统应用。这意味着,应用即使通过了某些应用商店的安全审核,仍有可能藏有恶意代码。比较特殊的是,该漏洞限制被篡改的应用大小不能超过64K,因此其影响范围略小于前两个签名漏洞,但危害仍然严重,安卓用户在下载使用“小应用”时需要特别提高警惕。
一旦手机木马利用“签名”漏洞伪装正常应用混入用户手机,手机瞬间就会变成“肉鸡”,木马可肆意窃取通讯录、短信、通话记录、地理位置等信息,还能控制手机发送短信、拨打电话甚至打开摄像头。
根据前两次安卓签名漏洞爆发的特征,在漏洞细节被技术网站披露后,短时间内就会有大批木马混入一些不安全的应用市场。对此,安全专家建议用户密切关注手机系统更新,并及时更新360手机卫士病毒库,可以有效查杀利用该漏洞的木马。
