Android又爆重大漏洞:誰之禍根,誰該慶幸
責編:admin |2014-07-31 14:16:04當看到這則消息的時候,確實感受到一股莫名的氣流在涌動,造成這種氣流的主要原因是,有些人在笑、有些人在鬧、有些人發愁、有些人則開始策劃著什么。目前具體漏洞信息還沒有公布,等待黑帽大會上的披露。
誰會著急?消費者,廠商。因為擔心的是,消費者會因此對自己手中的Android設備產生質疑,從而影響到自己產品的市場銷量。
誰會笑?
安卓的競爭對手會偷笑。
Google Play在微笑。由于Android系統的開源性,所以手機廠商可以選擇是否使用官方的Google Play應用程序商城,加上國內對于Google Play的一些限制,導致國內上市的產品,清一色的或者拿掉Google Play,或者降低Google Play的重要性,并采用廠商自主的應用程序商城或者第三方商城。倘若有人利用這個漏洞,就體現了Play對應用安全的審核力度,會有一種很好的宣傳。
去年7月,Android也出現了特大漏洞
根據外媒報道,移動安全公司BlueBox發布消息,Android出現嚴重漏洞,涉及過去4年發布的9億臺Android設備。除了第三方的應用商城,各個手機安全的APP也同樣有機會來提升自己的聲量,道理等同于上述。(來自21CN)
移動安全公司BlueBox發布消息,Android出現嚴重漏洞,涉及過去4年發布的9億臺Android設備。黑客通過不改變秘鑰的前
提下,修改APK開發包,從而植入木馬,來操作Android設備,比如開關攝像頭,發送短信等等。這意味著用戶的隱私完全暴露在黑客的控制之中。(來自天極網)
7月29日
據國外媒體報道,根據發布的一項研究,谷歌的安卓操作系統可能存在安全漏洞,這將使得黑客可以冒充被信任的應用程序并潛在的竊取你的手機或平板電腦信
息。本質問題在于安卓檢查——或者確切來說是不檢查——某些應用程序真實性的方式,因此這一漏洞也獲得了一個醒目的名字——“假ID”,做公司移動數據保
護的隱形公司Bluebox Security這樣說道。
驗證身份是在線網絡最重要的問題之一,登陸某銀行賬戶的人是否就是賬戶所有者?總部位于舊金山的Bluebox公司主要是幫助公司保護移動設備上的
數據,公司員工也在調查和理解Bluebox所基于的移動操作系統構架,公司首席技術官杰夫·佛利斯塔爾(JeffForristal)這樣表示。
每一個安卓應用程序都有自己的數字簽名,本質上來說就是一張ID卡。例如Adobe系統在安卓系統上有一個特殊的簽名,所有Adobe的程序都有基
于這一簽名的ID。Bluebox公司發現,當一個應用程序閃射一個Adobe
ID,安卓并不會與Adobe核查這是否是真實的ID。這意味著一個惡意用戶可以基于Adobe的簽名創造一個惡意軟件并植入你的系統。這個問題并不只是
Adobe系統特有,黑客可以創造一個惡意應用程序冒充谷歌錢包,然后獲得付款和財務數據。相同的問題也出現在某些設備上的管理軟件,這使得黑客可以完全
控制整個系統。
“本質上來說,我們發現了一種制造虛假ID的方法,”佛利斯塔爾這樣說道。“很多黑客都能夠創造假ID卡,但問題是他們創造的是哪一種虛假ID
卡?”這一缺陷會影響安卓2.1以上系統,盡管最新的系統4.4或者稱KitKat已經修復了這一漏洞,因為這個系統與Adobe相關,據Bluebox
表示。從2012年至2013年,大約14億新的設備裝有安卓操作系統,據市場研究機構Gartner公司表示。Gartner估計今年將有11.7億個安卓設備。
安卓系統的這一弱點展示了安全研究人員和谷歌是如何處理軟件或者程序里發現的漏洞。它還暗示了處理影響安卓系統的弱點的復雜性,因為修復需要的不僅僅是谷歌的相關調整,它還涉及不同的軟件開發者和設備制造商。
據佛利斯塔爾表示,Bluebox在三月下旬完成了這項調研并于3月31日將漏洞遞交給谷歌。安卓安全小組在4月開發了修復的方法并將補丁交給供應
商,在Bluebox發布它們的發現之前,供應商有90天的時間實施這一修復。Bluebox已經測試了市場里6300多個產品里的40個安卓設備。
Bluebox計劃在下周美國拉斯維加斯召開的“黑帽”安全技術大會上討論他們的發現。
7月30日
研究人員稱,谷歌(微博)的Android操作系統存在漏洞,網絡犯罪分子可利用此漏洞竊取Android移動設備使用者的個人信息。
網絡安全公司BlueboxSecurity的研究人員警告稱,黑客通過制造一個冒牌的驗證代碼,令他們偽裝成為一個具有良好口碑的應用程序。這一轉變可以讓他們在移動設備中進入自由,并竊取數據。
BlueboxSecurity稱,其已經在今年4月份將此漏洞報告給谷歌公司。隨后,谷歌也向其所有的Android設備合作伙伴提供了相應的補丁。不過,任何尚未升級到最新版本的Android操作系統仍有被攻擊的危險。
Bluebox首席技術官、研究組負責人杰夫?弗里斯塔爾(JeffForristal)表示,雖然現在還沒有發現有網絡犯罪分子利用這一漏洞作案的跡象,但99%的Android設備極易受到攻擊。
弗里斯塔爾說:“不法分子利用這一漏洞可以接管一個特定的應用、或整個設備,當然也包括用戶儲藏其中的數據。因此,網上銀行、工作郵箱都有危險。歸根結底在于用戶所使用的設備。”
雖然媒體無法獨立證實Bluebox的說法,但谷歌已經承認了其軟件確實存在這一漏洞。
谷歌說,在接到報告后,公司已經向所有的合作伙伴以及Android開放源代碼項目發送補丁。此外,谷歌在聲明中還稱:“我們已經掃描了GooglePlay中所有提交的應用,目前尚無發現有人利用這一漏洞的證據。”
結尾
關于谷歌的廣告,由于搜索引擎記錄過我的瀏覽記錄,所以在大數據下,我們瀏覽過的信息,都會成為互聯網上可以利用的資源。于是乎,每天收到數十條廣告短信,所以可以說,我們的隱私已經暴露在大庭廣眾之下,即使Android系統有漏洞能讓消費者的隱私曝光,其實對于我們來說,差不多也就是把你最后定的內褲換成遮羞布吧。