安全公司Bluebox Security日前表示，他們發(fā)現(xiàn)“Android主密鑰”可以允許黑客把任意一款A(yù)ndroid應(yīng)用變成惡意僵尸工具。換句話說，惡意軟件將可以允許黑客遠(yuǎn)程獲取受感染設(shè)備的信息并控制其功能——比如通話和信息——這些全都不會(huì)被設(shè)備用戶、谷歌或是應(yīng)用開發(fā)者注意。

在Bluebox Security的博文當(dāng)中，公司首席技術(shù)官eff Forristal解釋稱，這個(gè)漏洞可以追溯到Android 1.6(也就是4年前的Donut)。根據(jù)他們的發(fā)現(xiàn)，黑客無需破壞用于認(rèn)證的加密簽名便能夠修改一款應(yīng)用的APK。

也就是說，黑客可以把一款應(yīng)用塞滿惡意軟件，但表面上看卻沒有任何異常。由于已驗(yàn)證的應(yīng)用程序被授予了Android系統(tǒng)和手機(jī)上所有應(yīng)用的完整訪問權(quán)，這個(gè)安全漏洞潛在上是巨大的，盡管這還僅停留在理論上——因?yàn)槟壳斑€不清楚惡意應(yīng)用和升級(jí)是如何被送達(dá)到用戶設(shè)備上的。此外，Google Play商店內(nèi)的應(yīng)用對(duì)于這種方式免疫，所以用戶應(yīng)該避免通過第三方應(yīng)用商店或是偽造的應(yīng)用連接下載應(yīng)用程序。

據(jù)悉，Bluebox Security在今年2月份就已經(jīng)將這個(gè)漏洞上報(bào)谷歌。最讓人擔(dān)憂的是，這個(gè)漏洞可能會(huì)影響到那些不再獲得系統(tǒng)升級(jí)的老設(shè)備。(Eskimo)

yangjin