IBM：Android 4.3含安全漏洞，金鑰有外洩之虞

IBM安全研究人員揭露，代號為Jelly Bean的Android 4.3中的KeyStore服務含有安全漏洞，可能造成使用者儲存於該軟體中的金鑰外洩。

KeyStore是Android平台上專門用來儲存各種程式金鑰或密碼的服務，以讓使用者在登入程式時不需重新鍵入密碼。

不過，IBM安全研究人員發現，KeyStore有一堆積緩衝溢位漏洞，駭客可能藉以存取KeyStore中所儲存的各式金鑰，或是以使用者身份登入相關服務。幸好Android平台內建許多安全機制，提高了攻擊門檻。

企圖攻擊該漏洞的駭客必須先打造一支惡意程式，然後說服使用者下載及安裝，也必須繞過Android上的DEP、ASLR、Stack Canaries等安全機制，即使到達了KeyStore，也不一定能存取KeyStore儲存的所有金鑰。

IBM是在9個月前發現此一漏洞，當時先告知了Android安全團隊，此一漏洞僅影響Android 4.3，在Android 4.4中已修補該漏洞。但根據Google的統計，目前市場上仍約有10.3%的Android裝置執行該版本的作業系統。（編譯/陳曉莉）