Android又爆重大漏洞:誰之禍根�,誰該慶幸
引言
當(dāng)看到這則消息的時候,確實(shí)感受到一股莫名的氣流在涌動�,造成這種氣流的主要原因是,有些人在笑�、有些人在鬧、有些人發(fā)愁���、有些人則開始策劃著什么�����。目前具體漏洞信息還沒有公布�����,等待黑帽大會上的披露�����。
誰會著急?消費(fèi)者����,廠商�����。因?yàn)閾?dān)心的是��,消費(fèi)者會因此對自己手中的Android設(shè)備產(chǎn)生質(zhì)疑���,從而影響到自己產(chǎn)品的市場銷量���。
誰會笑?
安卓的競爭對手會偷笑。
Google Play在微笑���。由于Android系統(tǒng)的開源性�����,所以手機(jī)廠商可以選擇是否使用官方的Google Play應(yīng)用程序商城����,加上國內(nèi)對于Google Play的一些限制,導(dǎo)致國內(nèi)上市的產(chǎn)品���,清一色的或者拿掉Google Play����,或者降低Google Play的重要性���,并采用廠商自主的應(yīng)用程序商城或者第三方商城���。倘若有人利用這個漏洞,就體現(xiàn)了Play對應(yīng)用安全的審核力度�����,會有一種很好的宣傳����。
去年7月,Android也出現(xiàn)了特大漏洞
根據(jù)外媒報(bào)道,移動安全公司BlueBox發(fā)布消息�,Android出現(xiàn)嚴(yán)重漏洞,涉及過去4年發(fā)布的9億臺Android設(shè)備��。除了第三方的應(yīng)用商城�,各個手機(jī)安全的APP也同樣有機(jī)會來提升自己的聲量�����,道理等同于上述�。(來自21CN)
移動安全公司BlueBox發(fā)布消息,Android出現(xiàn)嚴(yán)重漏洞��,涉及過去4年發(fā)布的9億臺Android設(shè)備��。黑客通過不改變秘鑰的前
提下��,修改APK開發(fā)包���,從而植入木馬�,來操作Android設(shè)備����,比如開關(guān)攝像頭,發(fā)送短信等等。這意味著用戶的隱私完全暴露在黑客的控制之中���。(來自天極網(wǎng))
7月29日
據(jù)國外媒體報(bào)道����,根據(jù)發(fā)布的一項(xiàng)研究�,谷歌的安卓操作系統(tǒng)可能存在安全漏洞,這將使得黑客可以冒充被信任的應(yīng)用程序并潛在的竊取你的手機(jī)或平板電腦信
息���。本質(zhì)問題在于安卓檢查——或者確切來說是不檢查——某些應(yīng)用程序真實(shí)性的方式��,因此這一漏洞也獲得了一個醒目的名字——“假ID”����,做公司移動數(shù)據(jù)保
護(hù)的隱形公司Bluebox Security這樣說道�。
驗(yàn)證身份是在線網(wǎng)絡(luò)最重要的問題之一,登陸某銀行賬戶的人是否就是賬戶所有者?總部位于舊金山的Bluebox公司主要是幫助公司保護(hù)移動設(shè)備上的
數(shù)據(jù)���,公司員工也在調(diào)查和理解Bluebox所基于的移動操作系統(tǒng)構(gòu)架�����,公司首席技術(shù)官杰夫·佛利斯塔爾(JeffForristal)這樣表示�����。
每一個安卓應(yīng)用程序都有自己的數(shù)字簽名��,本質(zhì)上來說就是一張ID卡�。例如Adobe系統(tǒng)在安卓系統(tǒng)上有一個特殊的簽名,所有Adobe的程序都有基
于這一簽名的ID��。Bluebox公司發(fā)現(xiàn)��,當(dāng)一個應(yīng)用程序閃射一個Adobe
ID�,安卓并不會與Adobe核查這是否是真實(shí)的ID�����。這意味著一個惡意用戶可以基于Adobe的簽名創(chuàng)造一個惡意軟件并植入你的系統(tǒng)�����。這個問題并不只是
Adobe系統(tǒng)特有���,黑客可以創(chuàng)造一個惡意應(yīng)用程序冒充谷歌錢包�����,然后獲得付款和財(cái)務(wù)數(shù)據(jù)��。相同的問題也出現(xiàn)在某些設(shè)備上的管理軟件�����,這使得黑客可以完全
控制整個系統(tǒng)�����。
“本質(zhì)上來說��,我們發(fā)現(xiàn)了一種制造虛假ID的方法���,”佛利斯塔爾這樣說道����。“很多黑客都能夠創(chuàng)造假ID卡����,但問題是他們創(chuàng)造的是哪一種虛假ID
卡?”這一缺陷會影響安卓2.1以上系統(tǒng),盡管最新的系統(tǒng)4.4或者稱KitKat已經(jīng)修復(fù)了這一漏洞����,因?yàn)檫@個系統(tǒng)與Adobe相關(guān)�,據(jù)Bluebox
表示����。從2012年至2013年,大約14億新的設(shè)備裝有安卓操作系統(tǒng)�,據(jù)市場研究機(jī)構(gòu)Gartner公司表示。Gartner估計(jì)今年將有11.7億個安卓設(shè)備�����。
安卓系統(tǒng)的這一弱點(diǎn)展示了安全研究人員和谷歌是如何處理軟件或者程序里發(fā)現(xiàn)的漏洞���。它還暗示了處理影響安卓系統(tǒng)的弱點(diǎn)的復(fù)雜性,因?yàn)樾迯?fù)需要的不僅僅是谷歌的相關(guān)調(diào)整�,它還涉及不同的軟件開發(fā)者和設(shè)備制造商。
據(jù)佛利斯塔爾表示����,Bluebox在三月下旬完成了這項(xiàng)調(diào)研并于3月31日將漏洞遞交給谷歌。安卓安全小組在4月開發(fā)了修復(fù)的方法并將補(bǔ)丁交給供應(yīng)
商��,在Bluebox發(fā)布它們的發(fā)現(xiàn)之前(+本站微信networkworldweixin)��,供應(yīng)商有90天的時間實(shí)施這一修復(fù)��。Bluebox已經(jīng)測試了市場里6300多個產(chǎn)品里的40個安卓設(shè)備。
Bluebox計(jì)劃在下周美國拉斯維加斯召開的“黑帽”安全技術(shù)大會上討論他們的發(fā)現(xiàn)�����。
7月30日
研究人員稱�����,谷歌(微博)的Android操作系統(tǒng)存在漏洞����,網(wǎng)絡(luò)犯罪分子可利用此漏洞竊取Android移動設(shè)備使用者的個人信息。
網(wǎng)絡(luò)安全公司BlueboxSecurity的研究人員警告稱�,黑客通過制造一個冒牌的驗(yàn)證代碼,令他們偽裝成為一個具有良好口碑的應(yīng)用程序�����。這一轉(zhuǎn)變可以讓他們在移動設(shè)備中進(jìn)入自由��,并竊取數(shù)據(jù)����。
BlueboxSecurity稱,其已經(jīng)在今年4月份將此漏洞報(bào)告給谷歌公司�����。隨后,谷歌也向其所有的Android設(shè)備合作伙伴提供了相應(yīng)的補(bǔ)丁����。不過,任何尚未升級到最新版本的Android操作系統(tǒng)仍有被攻擊的危險����。
Bluebox首席技術(shù)官、研究組負(fù)責(zé)人杰夫•弗里斯塔爾(JeffForristal)表示���,雖然現(xiàn)在還沒有發(fā)現(xiàn)有網(wǎng)絡(luò)犯罪分子利用這一漏洞作案的跡象����,但99%的Android設(shè)備極易受到攻擊����。
弗里斯塔爾說:“不法分子利用這一漏洞可以接管一個特定的應(yīng)用����、或整個設(shè)備,當(dāng)然也包括用戶儲藏其中的數(shù)據(jù)�����。因此,網(wǎng)上銀行����、工作郵箱都有危險。歸根結(jié)底在于用戶所使用的設(shè)備���。”
雖然媒體無法獨(dú)立證實(shí)Bluebox的說法����,但谷歌已經(jīng)承認(rèn)了其軟件確實(shí)存在這一漏洞����。
谷歌說,在接到報(bào)告后����,公司已經(jīng)向所有的合作伙伴以及Android開放源代碼項(xiàng)目發(fā)送補(bǔ)丁。此外��,谷歌在聲明中還稱:“我們已經(jīng)掃描了GooglePlay中所有提交的應(yīng)用��,目前尚無發(fā)現(xiàn)有人利用這一漏洞的證據(jù)。”
結(jié)尾
關(guān)于谷歌的廣告���,由于搜索引擎記錄過我的瀏覽記錄����,所以在大數(shù)據(jù)[注]下�,我們?yōu)g覽過的信息,都會成為互聯(lián)網(wǎng)上可以利用的資源�����。于是乎����,每天收到數(shù)十條廣告短信,所以可以說�����,我們的隱私已經(jīng)暴露在大庭廣眾之下�,即使Android系統(tǒng)有漏洞能讓消費(fèi)者的隱私曝光,其實(shí)對于我們來說�,差不多也就是把你最后定的內(nèi)褲換成遮羞布吧��。
