freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

安卓新漏洞将于7月末披露
2013-07-08 11:06:50

感谢Kolwaski投递

Bluebox安全研究团队日前发现安卓安全体系模型中的一个漏洞,该漏洞允许黑客在不破坏应用数位签名的情况下修改安卓安装包代码。

该漏洞可使在应用商店、手机、终端用户都不会意识到的情况下将合法应用替换为恶意软件。近4年来的所有安卓版本都会受到影响,版本可追溯到Android 1.6。99%的安卓设备,即9亿安卓设备存在该风险。

漏洞是由安卓应用的数位认证和安装存在“差异性”引起,允许安卓安装包在不破坏数位签名的情况下对代码进行修改。诱使用户下载恶意软件,继而窃取安卓移动设备中的数据,也可直接控制移动设备形成僵尸网络。

Bluebox首席技术官将在7月末的Black Hat USA 2013上披露该漏洞的具体细节。 

由于Android设备制造商和移动运营商不是很经常进行更新,许多Android设备并没有运行最新版的Android系统,而且用户不能自行更新。所以众多Android设备存在大面积感染的可能。

亚洲情况可能尤其严重,因为该地区有500多个独立的Android应用商店,这些应用商店很少或没有对应用上架进行验证的过程。

Bluebox给出缓解的方法。无法确认自己设备更新状态的用户必须加倍小心,同时要确保验证安装应用的发行商是否合法安全。此外,只从Google Play安装应用也是一个好的规避风险的办法,因为Google有一定能力验证应用。

本文作者:, 转载请注明来自FreeBuf.COM

被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑