新聞源 財(cái)富源

2025年01月08日 星期三

安卓系統(tǒng)再曝簽名漏洞 國(guó)內(nèi)超九成用戶受影響

  • 發(fā)布時(shí)間:2014-08-01 08:29:05  來(lái)源:新華網(wǎng)  作者:周潤(rùn)健  責(zé)任編輯:謝凌宇

  安卓系統(tǒng)日前再曝系統(tǒng)簽名漏洞,這是繼2013年7月發(fā)現(xiàn)的簽名漏洞后,新發(fā)現(xiàn)的可以假冒正規(guī)應(yīng)用的系統(tǒng)簽名漏洞。

  360手機(jī)安全專家申迪表示,這一漏洞影響部分4.4及所有4.4以下版本的安卓系統(tǒng),這意味著包括國(guó)內(nèi)用戶在內(nèi)的超過(guò)九成以上安卓手機(jī)用戶,都會(huì)受到影響。

  據(jù)了解,該漏洞的出現(xiàn)根本問(wèn)題在于Android校驗(yàn)應(yīng)用身份時(shí)采取的方式。

  每一款A(yù)ndroid應(yīng)用都有自己的數(shù)字簽名,也就是ID卡。例如,某手機(jī)APP在Android上有一個(gè)指定簽名,而該應(yīng)用開(kāi)發(fā)商開(kāi)發(fā)的所有程序都有一個(gè)基于該簽名的ID。

  但安全專家發(fā)現(xiàn),當(dāng)一款應(yīng)用亮出該公司ID時(shí),Android不會(huì)向該應(yīng)用開(kāi)發(fā)商核實(shí)該ID的真實(shí)性。換句話說(shuō),不法分子可以利用假冒的簽名來(lái)開(kāi)發(fā)惡意軟件,從而感染用戶的整個(gè)系統(tǒng)。

  該問(wèn)題并不局限于某一款A(yù)PP,黑客可以創(chuàng)建一個(gè)假冒手機(jī)網(wǎng)銀APP的惡意軟件,然后訪問(wèn)用戶的支付賬號(hào)和財(cái)務(wù)數(shù)據(jù)。

  “目前來(lái)看,該漏洞可能會(huì)對(duì)”谷歌錢(qián)包“這類的支付應(yīng)用產(chǎn)生較大威脅?!鄙甑险f(shuō)。

  專家建議,在谷歌和手機(jī)廠商提供官方升級(jí)補(bǔ)丁修復(fù)此漏洞之前,用戶應(yīng)定期更新手機(jī)衛(wèi)士病毒庫(kù),及時(shí)查殺利用該漏洞的惡意軟件,從而獲得臨時(shí)性保護(hù)。

熱圖一覽

高清圖集賞析

消費(fèi)

  • 股票名稱 最新價(jià) 漲跌幅