近日,国外媒体曝出安卓系统存在高危漏洞,99%的安卓设备都处于危险当中。通过该漏洞,黑客可在不破坏APP数字签名的情况下,篡改任意手机应用,中招用户可能面临账号被盗、隐私泄露等问题。对此,Google(谷歌)官方已经于北京时间10日凌晨向OEM厂商提供了修复补丁,但有安全专家担心,由于漏洞影响Android设备多达9亿台,OEM厂商众多,恐怕补丁难以短期内在用户中普及。目前,使用手机安全软件仍然是有效的漏洞防御措施,360手机卫士已率先具备识别并查杀利用该漏洞的恶意程序的能力。 据360手机安全专家介绍,数字签名是安卓安全机制中非常重要的一环,通过数字签名可以保证每个应用程序来自于合法的开发商。但此次曝出的漏洞却可以让黑客在植入恶意代码时不会破坏数字签名,安卓系统在安装应用时不会对其进行校验。用户在安装被篡改的应用时,安卓系统并不会提示用户“签名不一致”等警示信息。 据了解,通过这些被篡改的应用,黑客可以完全控制中招手机,窃取通讯录、短信、通话记录、帐号密码等信息,还能控制手机发送短信、拨打电话甚至打开摄像头等,使中招手机彻底沦为一款间谍工具。如果黑客将恶意代码植入某款支付类应用中,用户就可能面临财产损失的威胁。随意发送短信也存在极大的隐患,简单几条短信就可能将用户的亲友置于诈骗陷阱中,使危害范围进一步扩大。 7月9日凌晨,360手机安全中心发现,该漏洞的攻击代码已开始在国外网站传播,并有大幅蔓延趋势。由于此漏洞影响范围广、危害极大,为防患于未然,360手机安全中心已紧急向工信部、国家互联网应急中心(CNCERT)等相关政府部门汇报了该漏洞的相关技术细节和危害。与此同时,360手机安全专家建议用户,在安装谷歌或手机厂商推送官方补丁前,可使用360手机卫士对下载的应用进行检测,以防利用该漏洞的恶意程序入侵。
责任编辑:
|