新創的行動安全業者Bluebox Security最近發現Android的安全模組中含有一漏洞,讓駭客不必滲透應用程式的加密簽章就能更改APK程式碼,在不被應用程式商店或使用者察覺的情況下,把任何合法的應用程式轉成惡意木馬,影響Android 1.6以後的各種版本,等於是99%的Android手機都含有此一漏洞。
根據Google的統計,從Android 1.6到Android 4.2.x已經囊括100%的Android裝置,因此,Bluebox所估計的99%可能是扣掉誤差與最新裝置而來。
Bluebox警告,該漏洞帶來很嚴重的安全風險,除了可存取個人資料或進入企業網路外,若是惡意程式入侵了製造商所打造的系統程式,將會讓駭客掌控整個Android系統與所有的應用程式,不只是讀取程式中所存的各種資料,如電子郵件、簡訊或文件,也能取得所有帳號與密碼,還能接管電話的功能,包括任意打電話、任意傳送訊息、開啟攝影機,或是監聽電話等,甚至還能利用手機隨時開機與上網的特性,把這些裝置變成殭屍裝置並建立殭屍網路。
根據該公司的說明,所有的Android程式都含有加密簽章,是Android用來判斷應用程式合法化及完整性的設計,此一漏洞則允許駭客在不影響程式加密簽章的情況下就更改程式碼。
Bluebox今年2月就向Google提報了該漏洞,現在則只能仰賴裝置製造商更新裝置上的韌體。但CIO報導指出,Google已經修正了Google Play的程式進入程序以防堵含有這類問題的程式,而且Google Play上既有的程式已無此一問題,不過,駭客仍能引誘使用者手動安裝某合法程式的惡意更新來開採該漏洞。換句話說,從Google Play進行程式下載或更新應能避免受到該漏洞的波及。
Bluebox準備在今年7月27日於拉斯維加斯舉行的黑帽(Black Hat)大會上展示及詳細說明該漏洞。(編譯/陳曉莉)
熱門新聞
2026-01-12
2026-01-12
2026-01-16
2026-01-12
