Android 驗證方式問題多多 惡意程式 ID 真偽難辨

作者 | 發布日期 2014 年 07 月 30 日 10:02 | 分類 Android , Google , 資訊安全
0729_android_970-630x420

網路安全公司 Bluebox Security 發表報告稱,Android 系統在驗證用戶身份時存在漏洞,駭客可以通過偽造的受信任程式 ID 盜取用戶的個人資訊,該問題的核心在於第三方程應用程式運行時, Android  完全沒有驗證該帳號的真偽。



驗證程式 ID 可以說是網路安全的第一道門,在 Android 系統中每一個應用程式都有一個專屬的數位簽名,也就是一個 ID,比如 Adobe 軟體在 Android 系統中有一個特殊的 ID,所有來自 Adobe 公司的軟體都共享這一 ID,當用戶啟動 Adobe 軟體時,該數位簽名就會用於 Android 系統的身份驗證,事實上 Android 系統無法驗證 ID 是否真的與應用程式匹配,若駭客偽造 Adobe ID 開發了一個惡意程式就可以輕易繞過 Android 的身份驗證系統,進入用戶的裝置中盜取資訊。這一問題並不是針對 Adobe 軟體,任何在 Android 上運行的軟體都面臨這一問題,若駭客使用 Paypal ID 偽造惡意程式,就可以盜取用戶的個人資訊和財產。

Bluebox CTO Jeff Forristal 表示有關這個漏洞的報告已經在 2014 年 3 月 31 日提交給 Google 公司,Android 系統的安全團隊在 2014 年 4 月開發了修補程式並交給軟體開發商和硬體製造商,Bluebox 在 6,000 多款 Android 產品中挑選了 40 款進行測試,只有一家廠商修復了該系統漏洞。這表明 Android 系統的安全問題非常複雜,僅依靠 Android 團隊的安全維護是遠遠不夠的,Google 需要與更多的開發者和廠商合作,系統漏洞很難在第一時間修復。目前受影響的版本主要是 2010 年 1 月後發表的 Andr​​oid 2.1 和更高版本,需要說明的是 Android 4.4 系統中與 Adobe 公司相關的漏洞已經被修復。

題圖來自 Google’s Android Has a Fake-ID Problem 

關鍵字: ,

發表迴響