日前,移动网络安全公司Bluebox Security表示,在安卓操作系统上发现了重大的安全漏洞,攻击者可以利用该漏洞将99%的应用转变为特洛伊木马程序,这个消息一出来,着实让人捏了一把汗。不过近日,谷歌表示该漏洞已经被修复,且补丁已经发布给了各OEM厂商。
Bluebox Security首席技术官Jeff Forristal称,该漏洞在四年前安卓1.6版本发布之时就已经存在,所以说它可以破坏任何近四年发布的安卓手机,数量达到几乎9亿台。Bluebox Security在今年2月将漏洞通知给谷歌。
每个应用都有一个密码签名来保护自己不受攻击,但是由于漏洞的存在,恶意的开发人员可以利用它修改合法的APK文件代码,但是不会破坏其密码签名。这意味着攻击者可以将几乎任何一款安卓app变成恶意程序,可以远程获取安卓设备上的数据且控制其功能,例如拨打电话、发送短信等。
谷歌的安卓通信经理Gina Scigliano称虽然谷歌没有发表声明,但是她可以确认补丁已经提供给了合作商,即一些OEM厂商,如三星等,他们都已经将修复推送给了相应的安卓设备中。因此,和往常一样,安卓用户需要与硬件供应商联系获取此次更新。
Scigliano 还表示大家不用过于担心该漏洞,她说:“我们安全扫描工具的数据显示,目前在谷歌Play或其他app商城,没有发现漏洞被利用的迹象。现在,谷歌 Play会扫描这个问题,而Verify应用可以给从谷歌Play外下载app的安卓用户提供保护,所以各位请完全放心。”