阿里錢盾安全專家提醒:Google Play也可能存仿冒應用
近期媒體爆出谷歌市場上的索尼官方的備份與恢復應用“Backup and Restore”被黑的消息,這對於在中國市場節節敗退的索尼手機來説無異於雪上加霜。近期,索尼預計全年智能手機出貨量為4100萬台,針對這些索尼手機的忠實用户,被黑的應用為什麼可以安裝升級?用户又該怎麼樣減少影響呢? 阿里錢盾專家針對此次事件進行了深入分析,為索尼用户和其他安卓手機用户保障自身信息安全,網購安全出謀劃策。
1.為什麼被黑的應用可以安裝?甚至升級替換官方應用?
當前安卓應用安裝過程中未對應用的自簽名證書進行驗證,從而使得被黑的索尼官方應用還能正常安裝
如圖所示紅色部分,從待安裝應用中提取的開發者證書,除了開發者證書公鑰不能篡改之外,其它信息都可以被攻擊者隨意修改,包括證書序號、開發者名字、證書有效期等。而且修改之後,不會影響apk的安裝、升級、運行等操作,其原因在於android系統只驗證了數字簽名,卻沒有驗證用來生成數字簽名的證書信息。因此攻擊者可以輕而易舉就可以改變應用的開發者姓名,證書信息等,能讓用户進行正常應用升級成被黑應用。這一漏洞還可能造成知識版權問題,例如可以把Google開發的應用的開發者證書信息修改成攻擊者的名字,擴大攻擊者的影響力;或者攻擊者把自己開發的惡意應用冠上Google的名字,博取用户信任。後者的風險非常大。
2.最權威的市場也可能存在仿冒的應用
作為安卓手機最權威的官方應用市場,Google Play一直以來都是安卓應用市場中最安全的市場之一。但本次被黑應用上架的市場正是谷歌市場,可見其在審核的過程也存在漏洞。據此前阿里移動安全的研究分析,被黑和仿冒應用的風險普遍存在,有超過80%的熱門應用都存在仿冒,且平均仿冒數量高達13個。若再將開發者信息的仿冒包含在內,仿冒應用的風險形式必將更加嚴峻。
在國內部分應用市場上,應用的開發者信息在應用查看,下載和安裝的過程都不進行顯示。且安卓手機上是否允許非官方應用市場來源的應用的選項往往是打開的。國內安卓的整體安全性更讓人擔憂。
3.索尼官方應用怎樣被黑?
針對索尼官方應用被黑,谷歌市場已經緊急下架該應用,由於目前找不到被黑應用,真正的攻擊方式難以確認。經過阿里錢盾專家的分析,攻擊者可能通過以下步驟進行攻擊。首先攻擊者將應用中的開發者信息修改,若掌握了索尼的私鑰,攻擊者就更可能修改了官方應用,甚至植入了惡意代碼。之後攻擊者還可能盜取了索尼的谷歌賬號,利用這一賬號來實現被黑應用的上架。
4.應用不可信?用户應該如何是好?
雖然本次事件不一定會造成嚴重風險,但因為安卓應用安裝的漏洞和安卓應用市場的不規範,導致不可信應用非常普遍,用户還是需要引起注意,阿里錢盾專家提醒大家:
- 涉及賬户,資金的應用如淘寶,支付寶,微信等 儘量在官方網站進行應用下載。
- 謹慎選擇應用,並在手機上安裝安全軟件,防止自身信息的泄露。
- 用户可以通過安裝阿里錢盾,獲得最重要的網購和資金安全保護。