据媒体报道,国外研究人员声称发现了一个Android严重漏洞,此漏洞从Android1.6开始就一直存在,影响过去4年间发布的99%的Android手机。安全管家云安全中心将该漏洞定义为“安卓系统Master Key签名漏洞”。 据云安全中心专家介绍,数字签名可以保证每个应用程序来源于合法的开发商,这是整个安卓操作系统得以控制风险的一种至关重要的安全校验机制。由于此漏洞允许攻击者修改应用程序的代码,但不会改变其加密签名,使得绝大多数安卓设备面临巨大风险:不法分子可在不破坏APP数字签名的情况下,篡改任何正常手机应用,并进而控制中招手机,实现偷账号、窃隐私、打电话或发短信等任意行为,使手机瞬间沦为“肉鸡”。 当前已经有大量热门软件被此感染,不法分子可以在某个软件客户端中植入带盗号、偷隐私、后台发短信的恶意程序,告诉用户,这是一个升级版本。如果签名不同,这个升级版本安装时,系统会报错,提示签名有异常。然而,利用漏洞构造的恶意程序却有和正版软件完全一样的签名,安装时系统就不会报错,用户会把这个盗版的软件误认为这是一个完全正常的官方软件。 (为修复版的安全管家检测到利用签名漏洞的病毒) 安全管家云安全中心验证了“高危签名漏洞”的存在,并发布了安全管家的修复版本。提醒广大安卓用户,在谷歌官方真正补丁发布前,可使用安全管家来识别用该漏洞的恶意程序,从而获得安全保护。使用安全管家的安全检测,可对所有应用进行安全扫描,并且能更新病毒库,及时查杀利用该漏洞的恶意软件。此外,还应去正规的渠道下载手机应用,避免下载到被恶意篡改的病毒程序。
责任编辑:
|