據(jù)國外媒體報(bào)道，移動安全創(chuàng)業(yè)企業(yè)Bluebox周三發(fā)帖子指出，自Android 1.6版本以來就存在漏洞，被黑客用于竊取數(shù)據(jù)、操縱系統(tǒng)，且有99%的Android設(shè)備受到影響。

研究人員發(fā)現(xiàn)，過去四年中，這一漏洞普遍存在，黑客可修改任何應(yīng)用的合法數(shù)字簽名，將其改造成一個(gè)木馬程序來盜取數(shù)據(jù)或者控制操作系統(tǒng)。Bluebox發(fā)現(xiàn)了該漏洞，并計(jì)劃于本月晚些時(shí)候在拉斯維加斯美國黑帽安全大會上披露更多細(xì)節(jié)。

這一漏洞源于Android應(yīng)用加密驗(yàn)證方式的紕漏，其允許黑客在不破壞加密簽名的情況下修改應(yīng)用程序包(APKs)。

Bluebox的首席技術(shù)官Jeff Forristal指出，安裝一款應(yīng)用并為其創(chuàng)建一個(gè)沙盒后，Android將記錄下該應(yīng)用的數(shù)字簽名，隨后的升級需要匹配簽名，以驗(yàn)證這些操作來自同一用戶。對于Android而言，這是一種十分重要的安全模式，因其可確保一款應(yīng)用程序在沙盒中存儲的敏感信息只能通過最早創(chuàng)建者的密匙來訪問。

研究人員發(fā)現(xiàn)，Android漏洞允許黑客為已驗(yàn)證簽名的APKs添加惡意代碼，而無需破壞其簽名。

值得一提的是，該漏洞至少自Android 1.6、即甜甜圈版本就已存在，已影響Android設(shè)備長達(dá)四年時(shí)間。

Bluebox指出：“根據(jù)應(yīng)用程序的類型，黑客能利用該漏洞來盜竊數(shù)據(jù)，或者是創(chuàng)建移動僵尸網(wǎng)絡(luò)”。更為嚴(yán)重的是，如果黑客修改一款由設(shè)備制造商開發(fā)的預(yù)裝應(yīng)用，他們有可能控制整個(gè)系統(tǒng)。

Forristal表示：“如果有固件平臺密匙，你就可以升級系統(tǒng)組件”。這樣一來，惡意代碼將長驅(qū)直入，可以訪問所有應(yīng)用、數(shù)據(jù)、賬戶、密碼及網(wǎng)絡(luò)，幾乎可以操縱整個(gè)設(shè)備?！?/span>

此外，黑客可通過發(fā)送電子郵件、上傳至第三方應(yīng)用商店、植入任何網(wǎng)站、通過USB復(fù)制等多種途徑植入木馬應(yīng)用。其中，利用第三方應(yīng)用商店來植入惡意代碼的方式目前已被證實(shí)。

不過，F(xiàn)orristal指出，利用Google Play不可能達(dá)成目標(biāo)，因?yàn)楣雀枰巡扇∮行Т胧﹣矸乐诡愃茊栴}發(fā)生。