Android现重大安全漏洞 可影响99%设备

安全公司Bluebox Security日前表示，他们发现“Android主密钥”可以允许黑客把任意一款Android应用变成恶意僵尸工具。换句话说，恶意软件将可以允许 黑客远程获取受感染设备的信息并控制其功能——比如通话和信息——这些全都不会被设备用户、谷歌或是应用开发者注意。

在Bluebox Security的博文当中，公司首席技术官eff Forristal解释称，这个漏洞可以追溯到Android 1.6(也就是4年前的Donut)。根据他们的发现，黑客无需破坏用于认证的加密签名便能够修改一款应用的APK。

也就是说，黑客可以把一款应用塞满恶意软件，但表面上看却没有任何异常。由于已验证的应用程序被授予了Android系统和手机上所有应用的完整访问 权，这个安全漏洞潜在上是巨大的，尽管这还仅停留在理论上——因为目前还不清楚恶意应用和升级是如何被送达到用户设备上的。此外，Google Play商店内的应用对于这种方式免疫，所以用户应该避免通过第三方应用商店或是伪造的应用连接下载应用程序。

据悉，Bluebox Security在今年2月份就已经将这个漏洞上报谷歌，三星的Galaxy S4也已经修复了这个问题。最让人担忧的是，这个漏洞可能会影响到那些不再获得系统升级的老设备。