近期,Android(安卓)操作系統(tǒng)被曝存在一個(gè)系統(tǒng)級(jí)高危漏洞,99%的安卓設(shè)備面臨巨大風(fēng)險(xiǎn):黑客可在不破壞APP數(shù)字簽名的情況下,篡改任何正常手機(jī)應(yīng)用,并進(jìn)而控制中招手機(jī),實(shí)現(xiàn)偷賬號(hào)、竊隱私、打電話或發(fā)短信等任意行為,從而使手機(jī)瞬間淪為“肉雞”。360安全專家經(jīng)深入分析,迅速找到并驗(yàn)證了該漏洞的確存在,且危害巨大,堪稱“史上最嚴(yán)重”的安卓漏洞。截止發(fā)稿前,谷歌安卓公開源代碼中仍未修正該漏洞。專家提醒,在谷歌官方補(bǔ)丁發(fā)布前,廣大安卓用戶可使用360手機(jī)衛(wèi)士來識(shí)別和查殺利用該漏洞的惡意程序,從而獲得臨時(shí)的保護(hù)。
據(jù)360安全專家介紹,由國(guó)外媒體率先曝光的這一簽名漏洞,存在于大部分安卓系統(tǒng)的安裝校驗(yàn)機(jī)制中,因而會(huì)影響當(dāng)前99%的安卓手機(jī)。利用該漏洞,黑客可在不破壞數(shù)字簽名的前提下,篡改包括系統(tǒng)應(yīng)用在內(nèi)的任何正常應(yīng)用的APK安裝包文件代碼,并植入任意惡意代碼。
何謂數(shù)字簽名?數(shù)字簽名可以保證每個(gè)應(yīng)用程序來源于合法的開發(fā)商,安卓系統(tǒng)的安全機(jī)制要求所安裝的程序必須攜帶數(shù)字簽名。憑此簽名,系統(tǒng)就能判定一個(gè)程序的代碼或者APK安裝包文件是否被動(dòng)過手腳。被篡改過的安裝包因?yàn)闊o法產(chǎn)生與原始安裝包相同的簽名而無法實(shí)現(xiàn)對(duì)原應(yīng)用的覆蓋安裝升級(jí)。這是整個(gè)安卓操作系統(tǒng)得以控制風(fēng)險(xiǎn)的一種至關(guān)重要的安全校驗(yàn)機(jī)制。
而這種安全校驗(yàn)機(jī)制在此次曝出的安卓簽名漏洞面前已完全失效。360手機(jī)安全專家研究并驗(yàn)證了該漏洞的攻擊原理,發(fā)現(xiàn)黑客可在不破壞或更換已驗(yàn)證數(shù)字簽名的情況下,向原版應(yīng)用中任意添加惡意代碼,甚至包括安卓本身的系統(tǒng)應(yīng)用。這意味著,任何一個(gè)安卓應(yīng)用,即使通過了某些應(yīng)用商店的安全審核,仍有可能藏有惡意代碼。黑客也可以通過在論壇、社區(qū)發(fā)布APP安裝包,通過QQ、微信、微博等社交工具,一對(duì)一發(fā)送給目標(biāo)人群,定向作案。
利用這些被惡意篡改過的安裝包,黑客可以完全控制中招手機(jī),竊取通訊錄、短信、通話記錄、帳號(hào)密碼等信息,還能完全控制手機(jī)發(fā)送短信、撥打電話甚至打開攝像頭等,使中招手機(jī)徹底淪為一款超強(qiáng)間諜工具。例如,黑客可在不更換簽名的情況下,將原版手機(jī)銀行應(yīng)用替換為植入了惡意代碼的版本,從而輕松竊取他人的銀行帳號(hào)和密碼。黑客還能在不修改簽名的情況下篡改微信等社交應(yīng)用,盜號(hào)并肆意竊取用戶隱私。而用戶在安裝或升級(jí)這類應(yīng)用時(shí),系統(tǒng)不會(huì)提示“簽名不一致”,普通用戶很難察覺到風(fēng)險(xiǎn)。
據(jù)悉,谷歌今年2月就已收到了上述漏洞信息,但并未就此作出公開回應(yīng),也沒有給出官方補(bǔ)丁的發(fā)布日程表。同時(shí),由于大部分安卓手機(jī)使用的均為非原生安卓系統(tǒng),涉及全球數(shù)以萬計(jì)的安卓手機(jī)廠商。因此,該漏洞在短期內(nèi)得到谷歌官方大面積修復(fù)的可能性較低。而據(jù)曝料黑客宣稱,將在今年8月于拉斯維加斯舉行的Black Hat國(guó)際黑帽大會(huì)上公布漏洞細(xì)節(jié)。北京時(shí)間7月9日凌晨,360手機(jī)安全專家發(fā)現(xiàn),利用該漏洞的的攻擊代碼已開始在國(guó)外網(wǎng)站散播。為此,360安全中心已緊急向工信部、國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)等相關(guān)政府部門匯報(bào)了該漏洞的相關(guān)技術(shù)細(xì)節(jié)和危害。
360手機(jī)安全專家建議,在谷歌和手機(jī)廠商提供官方升級(jí)補(bǔ)丁修復(fù)此漏洞之前,用戶應(yīng)定期更新360手機(jī)衛(wèi)士病毒庫,及時(shí)查殺利用該漏洞的惡意軟件。用戶應(yīng)從官方網(wǎng)站、360手機(jī)助手等正規(guī)、安全的渠道下載手機(jī)應(yīng)用,以免下載到被惡意篡改的帶毒程序。