99%安卓手機(jī)或存重大安全漏洞

本刊記者 | 黃海峰

近日， Android（安卓）操作系統(tǒng)被曝存在一個(gè)系統(tǒng)級(jí)高危漏洞，99%的Android設(shè)備面臨巨大風(fēng)險(xiǎn)。相關(guān)安全問(wèn)題研究人員認(rèn)為，這個(gè)缺陷讓黑客獲得了一把進(jìn)入Android系統(tǒng)的“萬(wàn)能鑰匙”，黑客甚至可以“控制手機(jī)的正常功能”。該事件引起眾多Android手機(jī)用戶的擔(dān)憂，成為業(yè)界關(guān)注焦點(diǎn)。

影響大、解決難

據(jù)悉，每個(gè)Android應(yīng)用程序都會(huì)有一個(gè)數(shù)字簽名，來(lái)保證應(yīng)用程序在發(fā)行過(guò)程中不被篡改。該漏洞是由于Android系統(tǒng)APK安裝包校驗(yàn)不完整導(dǎo)致的。黑客利用該漏洞在不破壞APP數(shù)字簽名的情況下，可篡改任何正常手機(jī)應(yīng)用，并進(jìn)而控制中招手機(jī)，實(shí)現(xiàn)偷賬號(hào)、竊隱私、打電話或發(fā)短信等任意行為，從而使手機(jī)瞬間淪為“肉雞”。

此次漏洞影響范圍很大，且難以很快解決。從Android4年前的1.6版到最流行的Android4.0全部存在Android系統(tǒng)簽名漏洞，漏洞涉及的Android設(shè)備數(shù)以億計(jì)。IDC市場(chǎng)研究公司5月份統(tǒng)計(jì)，世界上75%的智能手機(jī)都使用Android操作系統(tǒng)。

據(jù)了解，谷歌今年2月就已收到了上述漏洞信息，但并未就此作出公開(kāi)回應(yīng)，也沒(méi)有給出官方補(bǔ)丁的發(fā)布日程表。7月1日谷歌宣稱已經(jīng)開(kāi)發(fā)出了相應(yīng)補(bǔ)丁程序，并已將其提供給三星等OEM廠商。但是，由于大部分Android手機(jī)使用的均為非原生Android系統(tǒng)，涉及全球數(shù)以萬(wàn)計(jì)的Android手機(jī)廠商。因此，該漏洞在短期內(nèi)得到谷歌官方大面積修復(fù)的可能性較低。

最佳途徑：殺毒軟件

業(yè)內(nèi)人士認(rèn)為，對(duì)普通Android用戶而言，目前能快速解決威脅的最佳途徑是依靠可隨時(shí)升級(jí)的Android手機(jī)殺毒軟件。近日騰訊、360、金山毒霸等眾多殺毒廠商迅速采取了行動(dòng)，針對(duì)Android系統(tǒng)簽名漏洞完成緊急升級(jí)，推出查殺工具。

“漏洞不僅僅這一個(gè)。”上述騰訊人士介紹，騰訊獨(dú)家發(fā)現(xiàn)的第二個(gè)漏洞是由于Android系統(tǒng)軟件簽名校驗(yàn)不完整導(dǎo)致的。Android系統(tǒng)在驗(yàn)證系統(tǒng)軟件的時(shí)候只對(duì)軟件的AndroidManifest.xml文件進(jìn)行了簽名校驗(yàn)，而沒(méi)有對(duì)軟件的其他文件做簽名校驗(yàn)。當(dāng)黑客將含有病毒或者木馬的代碼注入系統(tǒng)軟件的dex文件中時(shí)，Android系統(tǒng)會(huì)認(rèn)為該軟件是安全的，從而允許利用了該漏洞的惡意軟件被成功安裝。

騰訊移動(dòng)安全實(shí)驗(yàn)室聯(lián)合騰訊手機(jī)管家發(fā)布上述兩個(gè)漏洞的專殺工具M(jìn)aster Key，補(bǔ)上漏洞。據(jù)介紹，騰訊手機(jī)管家發(fā)布Master Key專殺工具，完善了APK安裝包的校驗(yàn)流程以及Android系統(tǒng)軟件的簽名校驗(yàn)流程，及時(shí)查殺利用該類漏洞的病毒或者惡意軟件。

另外，業(yè)內(nèi)人士建議，除了升級(jí)手機(jī)殺毒軟件，用戶還應(yīng)從官方網(wǎng)站等正規(guī)、安全的渠道下載手機(jī)應(yīng)用，以免下載到被惡意篡改的帶毒程序。