据称该漏洞存在于安卓4.4以前的所有版本,最易受攻击的是手机钱包类应用
谷歌公司的安卓操作系统近日被安全专家发现存在一项致命安全漏洞,黑客可以借此假冒受信任的正规应用,从而劫持用户的智能手机或平板电脑,用户的隐私资料和财务数据都有可能被轻易窃取,受波及的设备数量超过十亿台。
今年3月已知悉漏洞存在的谷歌公司对事件反应冷淡,称“没有证据显示有人试图利用该漏洞”,但国内安全专家警告说,这一漏洞影响范围超过9成安卓用户,且最易受攻击的是手机钱包类应用,危害性不容忽视。
谷歌对该漏洞冷淡以对
外国安全公司Bluebox Security周二在一份报告中表示,每一款安卓应用都有自己的数字签名,也就是ID。但Bluebox却发现,当一款应用亮出ID时,安卓系统并不会核实该ID的真实性。
换句话说,网络犯罪分子可以利用假冒的签名来开发恶意软件,从而感染用户的系统。譬如说,黑客可以创建一个假冒银行客户端软件,从而直接偷取用户的支付账号和财务数据。系统管理软件也会存在同样的问题,使得黑客能够控制整个系统。
Bluebox表示,该漏洞存在于Android 4.4以前的所有版本,受影响设备数量惊人。根据美国市调机构Gartner的估算,2012年至2013年间,新出货的安卓设备高达14亿部,预计今年出货量还将增加11.7亿部。
Bluebox还透露,该公司在今年3月末即将漏洞提交给谷歌,安卓安全团队4月开发了一个解决方案并提交给了相关厂商,但据Bluebox日前对大约40款安卓设备的随机测试发现,只有一家厂商修补了该漏洞。
谷歌公司回应称,已经扫描了所有提交给Google Play的应用,以及谷歌在Google Play之外评估的应用,目前没有发现任何证据显示,有人试图利用该漏洞。
安全软件厂商暂无解决方案
谷歌与硬件厂商对事件反应的冷淡,不免让人联想到今年4月时曾引发一场互联网风暴的“心脏流血”漏洞。
在当时,一个名为“心脏流血”的互联网服务器漏洞首次被公之于众,攻击者能据此从服务器内存中读取包括用户名、密码和信用卡号等隐私信息在内的数据。由于全球有大约62万台服务器存在此漏洞,当中包括大部分的网络银行和电商网站,整个互联网都被动员起来修补漏洞,用户也争相上网修改关键账号及密码。
一个月后,已有一半的服务器修复了“心脏流血”漏洞,但在此之后,人们似乎又“好了伤疤忘了痛”,6月底时再次调查发现,仍有近31万台服务器及数百万台之多的安卓设备处于无保护状态。
360安全专家申迪昨日对记者表示,这个漏洞影响范围超过9成安卓用户,包括国内用户。主要威胁之一是使用了webview组件的应用存在隐私数据失窃、被恶意监控的危害,另外就是攻击者能静默获得NFC的控制权限,可能会对谷歌钱包类的支付应用产生威胁。
到记者截稿时止,几大主流手机安全软件厂商均向记者表示,漏洞刚公布,还没有拿到技术细节,暂时也没有针对性解决方案。幸运的是,这种攻击需要用户安装恶意APK(安卓应用安装文件)才会触发,所以他们给用户的建议还是尽可能从正规渠道下载应用。