據(jù)國外媒體報道，移動安全創(chuàng)業(yè)企業(yè)Bluebox周三發(fā)帖子指出，自Android 1.6版本以來就存在漏洞，被黑客用于竊取數(shù)據(jù)、操縱系統(tǒng)，且有99%的Android設(shè)備受到影響。

研究人員發(fā)現(xiàn)，過去四年中，這一漏洞普遍存在，黑客可修改任何應(yīng)用的合法數(shù)字簽名，將其改造成一個木馬程序來盜取數(shù)據(jù)或者控制操作系統(tǒng)。Bluebox發(fā)現(xiàn)了該漏洞，并計劃于本月晚些時候在拉斯維加斯美國黑帽安全大會上披露更多細節(jié)。

這一漏洞源于Android應(yīng)用加密驗證方式的紕漏，其允許黑客在不破壞加密簽名的情況下修改應(yīng)用程序包(APKs)。

Bluebox的首席技術(shù)官Jeff Forristal指出，安裝一款應(yīng)用并為其創(chuàng)建一個沙盒后，Android將記錄下該應(yīng)用的數(shù)字簽名，隨后的升級需要匹配簽名，以驗證這些操作來自同一用戶。對于Android而言，這是一種十分重要的安全模式，因其可確保一款應(yīng)用程序在沙盒中存儲的敏感信息只能通過最早創(chuàng)建者的密匙來訪問。

研究人員發(fā)現(xiàn)，Android漏洞允許黑客為已驗證簽名的APKs添加惡意代碼，而無需破壞其簽名。

值得一提的是，該漏洞至少自Android 1.6、即甜甜圈版本就已存在，已影響Android設(shè)備長達四年時間。

Bluebox指出：“根據(jù)應(yīng)用程序的類型，黑客能利用該漏洞來盜竊數(shù)據(jù)，或者是創(chuàng)建移動僵尸網(wǎng)絡(luò)”。更為嚴重的是，如果黑客修改一款由設(shè)備制造商開發(fā)的預(yù)裝應(yīng)用，他們有可能控制整個系統(tǒng)。

Forristal表示：“如果有固件平臺密匙，你就可以升級系統(tǒng)組件”。這樣一來，惡意代碼將長驅(qū)直入，可以訪問所有應(yīng)用、數(shù)據(jù)、賬戶、密碼及網(wǎng)絡(luò)，幾乎可以操縱整個設(shè)備。”

此外，黑客可通過發(fā)送電子郵件、上傳至第三方應(yīng)用商店、植入任何網(wǎng)站、通過USB復(fù)制等多種途徑植入木馬應(yīng)用。其中，利用第三方應(yīng)用商店來植入惡意代碼的方式目前已被證實。

不過，F(xiàn)orristal指出，利用Google Play不可能達成目標(biāo)，因為谷歌已采取有效措施來防止類似問題發(fā)生。