谷歌的安卓系統存在假身份安全問題 - 彭博社

攝影：Denis Doyle/Bloomberg谷歌的安卓操作系統存在一個安全漏洞，可能允許黑客冒充受信任的應用程序，並可能劫持您的手機或平板電腦，根據今天發佈的研究。

基本問題在於安卓檢查——或者説，不檢查——某些應用程序是否如其所説的那樣，Bluebox Security表示，該公司發現了這一漏洞。因此有了這個引人注目的名字，“假身份證”。

驗證身份是在線上最基本的問題之一。有人登錄銀行賬户時，是否是該賬户的所有者？一個應用程序是否如其所聲稱的那樣？總部位於舊金山的Bluebox幫助公司保護其移動設備上的數據，其員工緻力於研究和理解Bluebox構建的移動操作系統的架構，首席技術官Jeff Forristal説。

每個安卓應用程序都有自己的數字簽名——本質上是一張身份證。例如，Adobe Systems在安卓上有一個特定的簽名，所有來自Adobe的程序都有一個基於該簽名的ID。Bluebox發現，當一個應用程序閃現Adobe ID時，安卓並不會向Adobe確認它是否是真正的。這意味着惡意行為者可以基於Adobe的簽名創建惡意軟件並感染您的系統。這個問題並不特定於Adobe；黑客可以創建一個冒充Google Wallet的惡意應用程序，然後訪問支付和財務數據。相同的問題也適用於某些設備上的管理軟件，允許對整個系統的完全控制。

“我們基本上發現了一種創建假身份證的方法，”Forristal説。“有不同的途徑。歸根結底：我可以創建一張假身份證。問題是，我該創建哪種假身份證？”

這個漏洞影響從2.1（2010年1月發佈）及以上的Android系統，儘管最新版本4.4或KitKat已經修補了與Adobe相關的漏洞，Bluebox表示。為了給出一個規模的概念：根據Gartner的説法，從2012年到2013年，約有14億台新設備搭載Android操作系統。Gartner估計今年將有額外的11.7億台Android設備出貨。

“我們感謝Bluebox負責任地向我們報告這個漏洞；第三方研究是增強Android用户安全性的一種方式，”谷歌發言人Christopher Katsaros説。

這個特定漏洞的揭示説明了安全研究人員和谷歌如何處理軟件或程序中的缺陷發現。它還顯示了處理影響Android的漏洞的複雜性，因為修復需要不僅來自谷歌，還需要來自各種應用開發者和設備製造商的調整。

根據Forristal的説法，Bluebox在3月底完成了研究，並在3月31日之前將漏洞提交給谷歌。Android安全團隊在4月開發了修復程序，並將補丁提供給供應商，供應商有90天的時間在Bluebox公佈其發現之前實施它。他補充説，Bluebox測試了市場上6300多款Android設備中的約40款。目前，Bluebox只知道有一家供應商發佈了補丁。

谷歌Play和驗證應用程序已增強，以保護用户免受假ID問題的影響，谷歌發言人卡薩羅斯説。

“目前，我們已掃描所有提交到谷歌Play的應用程序，以及谷歌從谷歌Play外部審核的應用程序，我們沒有看到利用此漏洞的嘗試證據，”卡薩羅斯説。

Bluebox計劃在下週的 黑帽大會上討論其發現。預計在那之前會有更多令人不安的安全新聞。黑帽大會往往會揭露這些問題。

(更新：包括谷歌發言人的評論。)