安卓系统惊现4年前致命BUG 木马随意入侵99%设备

一个名为Bluebox的网络安全研究团队声称,他们已经在安卓操作系统中发现了一个致命的BUG,它非常致命——恶意木马程序通过这个BUG能轻易伪装成合规的APP程序!

这个BUG甚至在安卓系统中“生存”了四年之久,从安卓1.6版本Donut开始就已经存在,而谷歌从未修复它,BUG至少影响到了99%使用安卓平台的设备。黑客可以轻易获得系统的最高权限,盗取用户数据,或者把你的手机变成僵尸网络的一部分。

安卓系统惊现4年前致命BUG 木马随意入侵99%设备

一般来说,APP都需要通过加密签名的验证,如果加密信息和开发商提供的内容不匹配,Android将拒绝任何App更新。Bluebox表示,他们已经找到了方法,在不破坏签名信息情况下,修改该应用的APK文件,实现“伪装升级”。利用这个漏洞,黑客可以轻易把自己的木马伪造成知名App的升级包,用户一点就会中招。

当然,如果你坚持只从Google Play上下载App,理论上应该是相当安全的。但安卓系统的现状大家应该都很清楚——你会拒绝Google Play之外的市场下载和升级APP吗?显然是不可能的事情。

安卓系统惊现4年前致命BUG 木马随意入侵99%设备

Bluebox认为,对于仍在使用旧版本安卓系统且不进行迭代更新的用户来说,该BUG是个响亮的耳光。实际上,这个漏洞早在2013年2月就已经被告知了谷歌,但漏洞的具体封堵情况却取决于设备制造商本身。比如三星Galaxy S4前段时间更新的补丁就封堵了该漏洞,但谷歌自己的Nexus系列亲儿子的补丁却仍在开发中。Bluebox表示,在本月的晚些时候,将在 拉斯维加斯的Black Hat安全会议上,揭晓关于该漏洞调查结果的全部细节。


你可能感兴趣的:(安卓,系统,致命)