安全公司Bluebox Security發現,2010年Android 2.1以後的版本存在名為「假身份」(Fake ID)的漏洞,可能讓惡意程式繞過Android的安全機制,假冒為合法的程式。
Bluebox技術長Jeff Forristal解釋,Android應用安全仰賴PKI機制,Android系統上一般應用程式要在獲得憑證完成簽章驗證後,才可以在Android上執行。如果無法通過驗證,就只能在Android的沙箱環境下執行。然而有些應用,如Adobe Flash、Google Wallet等被視為信賴應用,其憑證是寫入Android底層程式碼中(AOSP),這種簽章具有較高權限可直接執行於Android上,像是Flash可以以當成webview外掛執行,Google Wallet可以存取NFC裝置內的支付資訊。有些裝置則視3LM的裝置管理軟體為信賴應用。
Forristal指出,Fake ID漏洞可讓惡意程式藉由取得信賴應用的簽章,繞過Android內的安全驗證機制執行,因此只要安裝一個仿冒的應用程式,就可能遭受到駭客的惡意行為,像是利用Adobe Flash webview外掛執行權限注入木馬程式、取得用戶財務資料,或是取得整台Android裝置的控制權限。
Fake ID最早出現在2010年一月釋出的Android 2.1,所有執行2.1到代號為KitKat的Android 4.4 版裝置都會受到影響。Google已經在今年4月針對這隻代碼為13678484的臭蟲釋出修補程式。Android 4.4由於在webview物件上做過修改而得以倖免於難。
Google除了已發佈修補程式並交給Android合作夥伴,並已修補了AOSP,強化Google Play及Google的掃瞄軟體Verify Apps。Google並指出,公司已掃描過所有送交Google Play的應用及Google檢視過非Google Play上架的應用,但沒有證據顯示有針對該漏洞的攻擊行為。(編譯/林妍溱)
熱門新聞
2024-05-14
2024-05-12
2024-05-13
2024-05-14
2024-05-13
2024-05-13