Android
0101 @ 2013.07.05 , 00:36
Android爆出一个已经存在四年的重大漏洞,可以绕过数字签名
[-]
Bluebox Security 实验室一个团队的安全研究人员发现Android有一个已经存在四年的漏洞,可以允许恶意软件修改经过验证的安全应用程序,然后感染软件设备,而用户则完全无法察觉到这个恶意软件的存在。
通常情况下每一个应用程序都是有数字签名的,软件开发者拥有密钥,供软件开放人员更新软件。如果密钥不匹配的话,就会被系统拒绝。而这个漏洞则可以绕过数字签名光明正大的修改APK文件,也就是说恶意代码完全可以在不被用户察觉的情况下完成对软件的修改。
该团队说,这个BUG早在Android 1.6 的时候就存在,所以现在这个漏洞将会影响到99%的Android系统的手机。这个BUG已经在今年的2月份已经通知了谷歌了,并且制作了漏洞补丁。不过因为Android系统的碎片化,所以现在只有三星Galaxy S4更新了补丁,而谷歌的Nexus设备的补丁则正在开发中。
当然安卓党也不必惊慌,因为恶意软件要感染你的应用软件,就必须先进入你的手机。只要你到官方网站去下载或者购买,都是很安全的。本文译自 Gizmodo,由 0101 编辑发布。
# 关于 Android 数字签名
在Android 系统中,所有安装到系统的应用程序都必有一个数字证书,此数字证书用于标识应用程序的作者和在应用程序之间建立信任关系。Android系统要求每一个安装进系统的应用程序都是经过数字证书签名的,数字证书的私钥则保存在程序开发者的手中。这个数字证书并不需要权威的数字证书签名机构认证,它只是用来让应用程序包自我认证。