一组研究人员在 Google 移动操作系统中发现了一个安全漏洞,该漏洞会影响运行 4.4 KitKat 及更高版本的智能手机,可能会让 82% 的 Android 用户容易受到攻击。
该漏洞由 Bluebox Labs 发现,绰号为 Fake ID,基于 Android 上应用安全性的检查方式。每个应用程序都有自己的加密签名 - 它决定谁可以更新以及他们拥有什么权限 - 并且整个系统在身份证书链上运行。 《卫报》解释说:
有“父证书”和“子证书”,在安装过程中会相互检查以确保它们匹配并且应用程序可靠。父证书通常由应用程序创建者提供,必须证明子证书是值得信赖的。
虽然理论上这应该提供良好的安全级别,但 Bluebox Labs 表示并没有,因为 Android 没有对这些证书进行足够的检查。这意味着一个实体可以将自己呈现为来自另一个实体,而事实并非如此。。
其结果是,任何应用程序都可以包含一个证书,该证书将自己呈现为由可信来源传输,以滥用家长权限。因此,与 NFC 相关的 Android 证书可能会被欺骗来访问 Google 钱包等,该缺陷会产生直接的财务影响。
Bluebox Labs 表示,Android 2.1 至 4.4 版本中存在 Fake ID 缺陷,因此影响了 82.1% 的用户。此后,谷歌与 Android 合作伙伴一起制作了补丁以及 Android 开源项目,但可能需要一段时间才能进入您的手机。除此之外,不要忘记采取正确的行动来保护自己免受病毒侵害。
