之前被忽視的安卓系統 “假ID簽名”漏洞日前再顯危害鋒芒。知名程序員網站CSDN技術人員測試發現，將真的簽名證書和假簽名證書一同打包到支付寶APK文件中，然后用國內三家安全軟件檢測，結果該漏洞騙過了360手機衛士的檢測。騰訊手機管家安全專家提醒，用戶需提升手機支付安全意識，建議一方面不要到非安全電子市場下載應用，另外要安裝靠得住的手機安全軟件保護支付安全。

在今年7月底安卓系統曝出的“假ID簽名”漏洞當時并未引起太多關注，因為有安全分析師認為，這一漏洞只是針對Adobe系統的相關應用，而其他應用不受影響。

也有安全分析師認為，“假ID簽名”并非只是存在于Adobe系統相關應用，本質上是創造了一種制造虛假ID簽名的方法，如果將這一方法應用于“二次打包”熱門應用，將可能騙過安全軟件檢測，這將嚴重危害手機用戶安全。

為了驗證“假ID簽名”漏洞的厲害，CSDN技術人員先構造了一個虛假簽名證書，然后將真的簽名證書和假簽名證書一同打包到支付寶APK文件中。然后分別利用騰訊手機管家、豌豆莢(洗白白)、360手機衛士進行檢測，結果騰訊手機管家、豌豆莢可識別出這是“山寨支付寶”，而“假ID簽名”漏洞騙過了360手機衛士的檢測。

圖：騰訊手機管家檢出山寨支付寶

中國互聯網協會8月2日發布的《中國互聯網金融報告(2014)》顯示，2013年我國手機支付用戶規模達到1.25億，交易規模增長率為707%，遠高于銀行卡收單、互聯網支付的增速。安全專家認為，如果一些手機支付類、銀行類、電商類應用被犯罪分子利用“假ID簽名”漏洞進行二次打包，誘騙用戶安裝，這將直接導致用戶財產損失。

圖：CSDN演示偽造支付寶簽名證書

CSND技術人員分析認為，360手機衛士被騙可能是其在對APK文件進行安全驗證的時候，只驗證根證書或者只要匹配一個證書成功就可以了，這顯然會讓那些利用“假ID漏洞”偽造簽名證書的應用成為漏網之魚。

對此，騰訊手機管家安全專家提醒廣大手機用戶：

首先，不要到非安全電子市場下載應用。一些山寨類手機應用都被放在手機論壇、非安全電子市場偽裝成熱門應用提供下載，用戶最好到應用的官方站點、有安全檢測的電子市場，比如騰訊手機管家“軟件管理”、應用寶等下載應用。

其次，安裝專業手機安全軟件。目前，各大手機安全軟件都推出支付安全功能，為手機網購支付提供安全支付環境檢測、山寨應用檢測等服務，騰訊手機管家可以有效的檢測出利用“假ID簽名”方法二次打包的山寨應用，習慣手機網購支付的用戶應下載安裝