影响99% Android手机漏洞已被发现

作者：趋势科技

早前有信息安全研究人员披露了一个新的 Android 手机漏洞，该漏洞可能让已安装的应用程序在用户不知情的状况下遭到窜改。几乎所有 Android 设备都受到影响，因为此漏洞从 Android 1.6（甜甜圈）版本即已存在，目前仅有 Samsung Galaxy S4 修正了这项问题。

此漏洞（有人称之为“Master Key”密钥漏洞）吸引了大批媒体关注，但并非所有的媒体报导都正确。趋势科技已经更新了趋势科技移动安全软件个人版，可保护我们的用户，但我们还是要特别在此澄清一下这到底是怎么回事，这是什么样的威胁，以及用户该做些什么。





什么是“Master Key”密钥漏洞？

此漏洞与 Android 应用程序的签名方式有关。所有的 Android 应用程序都内含一个开发商提供的数字签名，用来证明该程序“的确”来自该厂商，并且在传输过程中未被窜改。当应用有新版发布时，除非新的版本也有来自同一开发商的数字签名，否则就无法更新。

此漏洞正是和这最后一个步骤有关。研究人员发现，歹徒即使“没有”原始开发商的签名密钥，也能更新系统已安装的应用程序。简而言之，任何已安装的程序都可能被更新成恶意版本。

请注意，从技术角度来说，并没有所谓的密钥遭到外泄。当然，任何应用程序都可能被窜改并用于恶意用途，但这当中并不是因为“密钥”外泄。

有何风险？

此漏洞可让歹徒将 Android 设备上原本正常的应用程序换成恶意软件。一些拥有许多设备权限的应用程序，例如手机制造商或电信运营商提供的应用程序，尤其容易成为目标。

这类程序一旦进入设备，它们的行为就像任何恶意应用程序一样，只不过用户会以为它们是完全正常的程序。例如，一个遭到窜改/木马化的网络银行应用程序，还是能像往常一样运作，但用户输入的账号密码可能就会被歹徒所窃取。

用户如何保护自己？

趋势科技已经更新了移动设备应用程序信誉评等数据库，可检测专门攻击这项漏洞的应用程序，但目前尚未发现任何这类程序。尽管如此，我们已针对趋势科技移动安全软件个人版发布了最新的病毒特征，确保我们能够检测到专门攻击此漏洞的应用程序（用户只要更新到 1.513.00 或更新版本的病毒库就能安全无虞，所有攻击此漏洞的应用程序都将被检测为 Android_ExploitSign.HRX）。如此已足够确保我们的用户不受此威胁影响。

趋势科技强烈建议用户关闭安装非 Google Play 来源应用程序的功能。这项设定在 Android 系统“设定”当中的“安全性”选项内。

Google 已经采取了一些措施来保护用户。他们修改了在线商店的后台系统，任何想利用此漏洞的应用程序都会被封锁。因此用户只要不从其他第三方来源下载应用程序，也不要自行安装 APK 文件，就不会有此风险。该公司也提供了一个更新程序来解决这项漏洞，并已提供给 OEM 厂商。我们希望这项修正的急迫性可以让部署不要受到延迟。

更新

我们找到了一篇有关同一攻击使用另一种手法来略过 Android 签名检查机制的报导，这项手法使用的是
Java Zipfile 实例中的一个漏洞。目前我们正在研究如何解决这项问题，所有使用此手法的恶意软件都将被检测为 AndroidOS_ExploitSign.HRXA。

◎原文来源:

Android Vulnerability
Affects 99% of Devices – Trend Micro Users Protected





本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！