一家行動資訊安全公司表示,最近發現了谷歌Android作業系統有個可以讓駭客大幅掌控Android平台裝置的安全漏洞,而且這個漏洞存在過去四年所推出的Android裝置上,數量可能高達九億台。
Bluebox資安公司表示,被駭客植入木馬病毒的應用程式可以任意讀取裝置上如電子郵件、文件或簡訊等資料,擷取儲存的帳號密碼,基本上可以掌控裝置的一般功能,而且這個安全漏洞是因為Android應用程式驗證瑕疵所引起。一般應用程式的驗證必須要有軟體開發商的加密簽章,而且開發商在更新軟體時所提供的加密簽章必須與原本相符才成,否則會被拒絕。然而,Bluebox表示,已經找到一個可無須破解加密簽章卻又能修改應用程式APK檔案的方法,理論上可讓有心人士以惡意編碼修改應用程式,讓不知情的用戶下載,進而控制用戶裝置。至於下載木馬程式的途徑,The Verge網站表示,由於谷歌已經更新Google Play,要透過這個線上商店讓用戶下載惡意程式應該不太可能,但仍舊可以透過第三方線上商店、網路釣魚電子郵件、植入木馬程式的網站、或惡意韌體更新等途徑,讓用戶上當。
Bluebox表示,將會於七月於美國舉行的黑帽駭客大會中,透露這個漏洞在技術方面的更多細節。
它也表示,今年二月已經通知Android系統母公司谷歌這個問題,但由於Android平台裝置分裂(fragmentation)的現象,製造商與電信商釋出Android系統更新的時間不一(如果有提供的話),眾多Android裝置並沒有搭載最新的軟體,安全堪慮。
來源:The Verge、Venture Beat
以上消息引用外電報導,不代表本站立場。
