Bluebox的首席技术官杰夫佛利斯塔尔(Jeff Forristal)称,利用Android系统中的这个新发现的漏洞,黑客们可以在不破坏应用软件的密码签名的情况下修改应用的APK(应用程序包文件)代码,将任何合法应用转换成恶意木马,而且完全不会被应用商店、手机或最终用户注意到。
佛利斯塔尔称,这个漏洞的影响范围极广,至少自Android 1.6(产品代码:Donut)发布后的设备都存在这个安全漏洞。换句话说,过去4年内发布的所有Android手机都会受到这个漏洞的影响。
这个影响范围极广的安全漏洞涉及到Android应用程序的密码验证和安装方式上的差异,它可以在不破坏密码签名的情况下修改应用的APK代码。
与iOS应用一样,Android应用也标记了一个密钥标签以避免恶意黑客修改应用程序。标记过密钥标签的应用可以让系统检测出第三方对应用作出的任何干预或修改。
然而,利用最新发现的这个Android漏洞,流氓开发员可以骗过系统,让系统认为某个已经被破坏的应用仍然是合法应用,从而获得访问系统的权限。
Bluebox公司的一位代表称:“受到这个漏洞影响的设备几乎可以为所欲为,包括成为僵尸网络的一部分、监听耳机、将用户的数据传输给第三方、加密和劫持用户的数据、利用用户的数据向另一个网络发起攻击、攻击与用户手机联网的计算机、发送垃圾短信息、对某个目标发起DDoS攻击或者擦除用户设备上的所有数据。”
Bluebox称,这个漏洞自Android 1.6(Donut)发布时就存在了,这意味着过去4年内发布的所有Android设备都受到了它的影响。
已经被黑客破坏的应用可以利用这个安全漏洞伪装成合法应用,从而获得访问系统资源的权限。Bluebox指出,持有Android许可证的很多厂商比如HTC、三星、摩托罗拉和LG等自己的应用以及很多VPN应用如思科的AnyConnect都被授予了很高的特权,特别是可以访问系统UID。
绕过Android系统的应用签名模式并换下这样一款应用后,流氓应用就可以获得访问Android系统、所有已安装应用和所有数据的最高权限。
这意味着流氓应用不但可以读取设备上的任意应用数据以及检索储存在本地的所有帐户和服务密码,而且还可以取代手机的正常功能进而控制任何功能,比如拨打任意电话、发送任意短信息、打开摄像头和电话录音等。
Bluebox补充说:“最后,最令人担心的问题是黑客有可能利用这些僵尸移动设备的‘常开、常联网和常移动’的特点,建立一个僵尸网络。”
Bluebox已经在今年2月将这个漏洞的信息提供给了谷歌和开放手机联盟(OHA)的成员厂商,但它指出,开发和发布所有移动设备的固件升级的任务需要由设备厂商来完成。这些升级的发布时间肯定各不相同,具体将取决于厂商和移动设备。
到目前为止,持有Android许可证的厂商在发布相关升级上的表现并不积极,它们通常不愿发布安全补丁,哪怕是非常重要的安全补丁也不例外。
Android系统在安全防护上的弱势表现也使它成为了全球受恶意件影响最大的移动平台。这个新发现的安全漏洞会将Android用户置于更危险的境地,因为现在即便是合法开发商签名的应用也不可信了。
安全公司F-Secure在5月份指出:“Android恶意件生态系统开始变得象Windows恶意件生态系统一样了。”
佛利斯塔尔将在今年的黑帽子大会上公布这个安全漏洞的详细资料。
谷歌和开放手机联盟对此未予置评。
