北京時(shí)間7月4日消息，據(jù)國(guó)外媒體報(bào)道，企業(yè)安全公司Bluebox在谷歌Android安全模式中發(fā)現(xiàn)一個(gè)新的安全漏洞，會(huì)令幾乎所有的Android設(shè)備成為不設(shè)防的受攻擊對(duì)象。

據(jù)Bluebox的安全研究團(tuán)隊(duì)稱(chēng)，流氓應(yīng)用可以通過(guò)這個(gè)安全漏洞獲得Android系統(tǒng)和所有已安裝應(yīng)用的最高訪(fǎng)問(wèn)權(quán)限，讀取用戶(hù)設(shè)備上的所有數(shù)據(jù)，搜集所有的密碼并建立一個(gè)由“常開(kāi)、常聯(lián)網(wǎng)和常移動(dòng)”的間諜設(shè)備組成的僵尸網(wǎng)絡(luò)。

Bluebox的首席技術(shù)官杰夫佛利斯塔爾（Jeff Forristal）稱(chēng)，利用Android系統(tǒng)中的這個(gè)新發(fā)現(xiàn)的漏洞，黑客們可以在不破壞應(yīng)用軟件的密碼簽名的情況下修改應(yīng)用的APK（應(yīng)用程序包文件）代碼，將任何合法應(yīng)用轉(zhuǎn)換成惡意木馬，而且完全不會(huì)被應(yīng)用商店、手機(jī)或最終用戶(hù)注意到。

佛利斯塔爾稱(chēng)，這個(gè)漏洞的影響范圍極廣，至少自Android 1.6（產(chǎn)品代碼：Donut）發(fā)布后的設(shè)備都存在這個(gè)安全漏洞。換句話(huà)說(shuō)，過(guò)去4年內(nèi)發(fā)布的所有Android手機(jī)都會(huì)受到這個(gè)漏洞的影響。

這個(gè)影響范圍極廣的安全漏洞涉及到Android應(yīng)用程序的密碼驗(yàn)證和安裝方式上的差異，它可以在不破壞密碼簽名的情況下修改應(yīng)用的APK代碼。

與iOS應(yīng)用一樣，Android應(yīng)用也標(biāo)記了一個(gè)密鑰標(biāo)簽以避免惡意黑客修改應(yīng)用程序。標(biāo)記過(guò)密鑰標(biāo)簽的應(yīng)用可以讓系統(tǒng)檢測(cè)出第三方對(duì)應(yīng)用作出的任何干預(yù)或修改。

然而，利用最新發(fā)現(xiàn)的這個(gè)Android漏洞，流氓開(kāi)發(fā)員可以騙過(guò)系統(tǒng)，讓系統(tǒng)認(rèn)為某個(gè)已經(jīng)被破壞的應(yīng)用仍然是合法應(yīng)用，從而獲得訪(fǎng)問(wèn)系統(tǒng)的權(quán)限。

Bluebox公司的一位代表稱(chēng)：“受到這個(gè)漏洞影響的設(shè)備幾乎可以為所欲為，包括成為僵尸網(wǎng)絡(luò)的一部分、監(jiān)聽(tīng)耳機(jī)、將用戶(hù)的數(shù)據(jù)傳輸給第三方、加密和劫持用戶(hù)的數(shù)據(jù)、利用用戶(hù)的數(shù)據(jù)向另一個(gè)網(wǎng)絡(luò)發(fā)起攻擊、攻擊與用戶(hù)手機(jī)聯(lián)網(wǎng)的計(jì)算機(jī)、發(fā)送垃圾短信息、對(duì)某個(gè)目標(biāo)發(fā)起DDoS攻擊或者擦除用戶(hù)設(shè)備上的所有數(shù)據(jù)。”

Bluebox稱(chēng)，這個(gè)漏洞自Android 1.6（Donut）發(fā)布時(shí)就存在了，這意味著過(guò)去4年內(nèi)發(fā)布的所有Android設(shè)備都受到了它的影響。

已經(jīng)被黑客破壞的應(yīng)用可以利用這個(gè)安全漏洞偽裝成合法應(yīng)用，從而獲得訪(fǎng)問(wèn)系統(tǒng)資源的權(quán)限。Bluebox指出，持有Android許可證的很多廠(chǎng)商比如HTC、三星、摩托羅拉和LG等自己的應(yīng)用以及很多VPN應(yīng)用如思科的AnyConnect都被授予了很高的特權(quán)，特別是可以訪(fǎng)問(wèn)系統(tǒng)UID。

繞過(guò)Android系統(tǒng)的應(yīng)用簽名模式并換下這樣一款應(yīng)用后，流氓應(yīng)用就可以獲得訪(fǎng)問(wèn)Android系統(tǒng)、所有已安裝應(yīng)用和所有數(shù)據(jù)的最高權(quán)限。

這意味著流氓應(yīng)用不但可以讀取設(shè)備上的任意應(yīng)用數(shù)據(jù)以及檢索儲(chǔ)存在本地的所有帳戶(hù)和服務(wù)密碼，而且還可以取代手機(jī)的正常功能進(jìn)而控制任何功能，比如撥打任意電話(huà)、發(fā)送任意短信息、打開(kāi)攝像頭和電話(huà)錄音等。

Bluebox補(bǔ)充說(shuō)：“最后，最令人擔(dān)心的問(wèn)題是黑客有可能利用這些僵尸移動(dòng)設(shè)備的‘常開(kāi)、常聯(lián)網(wǎng)和常移動(dòng)’的特點(diǎn)，建立一個(gè)僵尸網(wǎng)絡(luò)。”

Bluebox已經(jīng)在今年2月將這個(gè)漏洞的信息提供給了谷歌和開(kāi)放手機(jī)聯(lián)盟（OHA）的成員廠(chǎng)商，但它指出，開(kāi)發(fā)和發(fā)布所有移動(dòng)設(shè)備的固件升級(jí)的任務(wù)需要由設(shè)備廠(chǎng)商來(lái)完成。這些升級(jí)的發(fā)布時(shí)間肯定各不相同，具體將取決于廠(chǎng)商和移動(dòng)設(shè)備。

到目前為止，持有Android許可證的廠(chǎng)商在發(fā)布相關(guān)升級(jí)上的表現(xiàn)并不積極，它們通常不愿發(fā)布安全補(bǔ)丁，哪怕是非常重要的安全補(bǔ)丁也不例外。

Android系統(tǒng)在安全防護(hù)上的弱勢(shì)表現(xiàn)也使它成為了全球受惡意件影響最大的移動(dòng)平臺(tái)。這個(gè)新發(fā)現(xiàn)的安全漏洞會(huì)將Android用戶(hù)置于更危險(xiǎn)的境地，因?yàn)楝F(xiàn)在即便是合法開(kāi)發(fā)商簽名的應(yīng)用也不可信了。

安全公司F-Secure在5月份指出：“Android惡意件生態(tài)系統(tǒng)開(kāi)始變得象Windows惡意件生態(tài)系統(tǒng)一樣了。”

佛利斯塔爾將在今年的黑帽子大會(huì)上公布這個(gè)安全漏洞的詳細(xì)資料。

谷歌和開(kāi)放手機(jī)聯(lián)盟對(duì)此未予置評(píng)。