據(jù)稱該漏洞存在于安卓4.4以前的所有版本,最易受攻擊的是手機錢包類應(yīng)用

谷歌公司的安卓操作系統(tǒng)近日被安全專家發(fā)現(xiàn)存在一項致命安全漏洞,黑客可以借此假冒受信任的正規(guī)應(yīng)用,從而劫持用戶的智能手機或平板電腦,用戶的隱私資料和財務(wù)數(shù)據(jù)都有可能被輕易竊取,受波及的設(shè)備數(shù)量超過十億臺。

今年3月已知悉漏洞存在的谷歌公司對事件反應(yīng)冷淡,稱“沒有證據(jù)顯示有人試圖利用該漏洞”,但國內(nèi)安全專家警告說,這一漏洞影響范圍超過9成安卓用戶,且最易受攻擊的是手機錢包類應(yīng)用,危害性不容忽視。

谷歌對該漏洞冷淡以對

外國安全公司Bluebox Security周二在一份報告中表示,每一款安卓應(yīng)用都有自己的數(shù)字簽名,也就是ID。但Bluebox卻發(fā)現(xiàn),當(dāng)一款應(yīng)用亮出ID時,安卓系統(tǒng)并不會核實該ID的真實性。

換句話說,網(wǎng)絡(luò)犯罪分子可以利用假冒的簽名來開發(fā)惡意軟件,從而感染用戶的系統(tǒng)。譬如說,黑客可以創(chuàng)建一個假冒銀行客戶端軟件,從而直接偷取用戶的支付賬號和財務(wù)數(shù)據(jù)。系統(tǒng)管理軟件也會存在同樣的問題,使得黑客能夠控制整個系統(tǒng)。

Bluebox表示,該漏洞存在于Android 4.4以前的所有版本,受影響設(shè)備數(shù)量驚人。根據(jù)美國市調(diào)機構(gòu)Gartner的估算,2012年至2013年間,新出貨的安卓設(shè)備高達(dá)14億部,預(yù)計今年出貨量還將增加11.7億部。

Bluebox還透露,該公司在今年3月末即將漏洞提交給谷歌,安卓安全團(tuán)隊4月開發(fā)了一個解決方案并提交給了相關(guān)廠商,但據(jù)Bluebox日前對大約40款安卓設(shè)備的隨機測試發(fā)現(xiàn),只有一家廠商修補了該漏洞。

谷歌公司回應(yīng)稱,已經(jīng)掃描了所有提交給Google Play的應(yīng)用,以及谷歌在Google Play之外評估的應(yīng)用,目前沒有發(fā)現(xiàn)任何證據(jù)顯示,有人試圖利用該漏洞。

安全軟件廠商暫無解決方案

谷歌與硬件廠商對事件反應(yīng)的冷淡,不免讓人聯(lián)想到今年4月時曾引發(fā)一場互聯(lián)網(wǎng)風(fēng)暴的“心臟流血”漏洞。

在當(dāng)時,一個名為“心臟流血”的互聯(lián)網(wǎng)服務(wù)器漏洞首次被公之于眾,攻擊者能據(jù)此從服務(wù)器內(nèi)存中讀取包括用戶名、密碼和信用卡號等隱私信息在內(nèi)的數(shù)據(jù)。由于全球有大約62萬臺服務(wù)器存在此漏洞,當(dāng)中包括大部分的網(wǎng)絡(luò)銀行和電商網(wǎng)站,整個互聯(lián)網(wǎng)都被動員起來修補漏洞,用戶也爭相上網(wǎng)修改關(guān)鍵賬號及密碼。

一個月后,已有一半的服務(wù)器修復(fù)了“心臟流血”漏洞,但在此之后,人們似乎又“好了傷疤忘了痛”,6月底時再次調(diào)查發(fā)現(xiàn),仍有近31萬臺服務(wù)器及數(shù)百萬臺之多的安卓設(shè)備處于無保護(hù)狀態(tài)。

360安全專家申迪昨日對記者表示,這個漏洞影響范圍超過9成安卓用戶,包括國內(nèi)用戶。主要威脅之一是使用了webview組件的應(yīng)用存在隱私數(shù)據(jù)失竊、被惡意監(jiān)控的危害,另外就是攻擊者能靜默獲得NFC的控制權(quán)限,可能會對谷歌錢包類的支付應(yīng)用產(chǎn)生威脅。

到記者截稿時止,幾大主流手機安全軟件廠商均向記者表示,漏洞剛公布,還沒有拿到技術(shù)細(xì)節(jié),暫時也沒有針對性解決方案。幸運的是,這種攻擊需要用戶安裝惡意APK(安卓應(yīng)用安裝文件)才會觸發(fā),所以他們給用戶的建議還是盡可能從正規(guī)渠道下載應(yīng)用。