Google 警告，駭客利用被盜 Android 證書金鑰認證惡意軟體

Android 系統手機商內建 App 有獨特證書金鑰，故系統容許這些 App 取得最高權限。不過部分金鑰被盜後，惡意軟體利用取得權限入侵，Google 最近警告廠商定期更換金鑰。

Google 最近 Android 合作夥伴漏洞計畫（AVPI）警告，有駭客利用盜取證書金鑰使惡意軟體成為高權限用戶「android.uid.system」，取得裝置控制權甚至用戶資料存取權。Google 展示 10 個使用此方式的惡意軟體，同時建議廠商更改平台證書，盡量減少使用這種證書的 App，以防堵嚴重漏洞。

Google 透露三星、LG 和聯發科裝置都有這問題，不過不幸中的大幸是，沒有證據顯示 Google Play 有用此攻擊的惡意軟體，如果用戶沒有安裝官方管道以外軟體，就不會有風險。