根据今天发布的一项研究,谷歌的Android操作系统可能存在安全漏洞,这将使黑客冒充值得信赖的应用程序,并潜在窃取您的手机或平板电脑信息。本质问题是 Android检查——或者确切地说,不检查——一些应用程序的真实性,所以这个漏洞也得到了一个引人注目的名字——“假ID”,做公司移动数据保护的隐形公司 Bluebox Security这样说道。
身份验证是在线网络最重要的问题之一。登录银行账户的人是账户所有者吗?总部位于旧金山Bluebox公司主要帮助公司保护移动设备上的数据,员工也在调查和理解Bluebox公司基于移动操作系统框架***技术官杰夫·佛利斯塔尔(Jeff Forristal)这样表示。
每个安卓应用程序都有自己的数字签名,本质上是一个ID卡。例如Adobe系统在安卓系统上有一个特殊的签名,所有Adobe基于基于此签名的程序都有ID。Bluebox当一个应用程序闪光时,公司发现Adobe ID,安卓不会和Adobe检查这是否真实ID。这意味着恶意用户可以基于Adobe签名创建恶意软件并植入您的系统。这个问题不仅仅是Adobe该系统是独一无二的,黑客可以创建一个冒充谷歌钱包的恶意应用程序,然后获得支付和财务数据。同样的问题也出现在一些设备上的管理软件上,这使得黑客完全控制了整个系统。
“本质上,我们发现了一种虚假的制造ID的方法,”佛利斯塔尔这么说。“许多黑客可以创造假冒ID但问题是他们创造了什么样的虚假信息ID卡?”这种缺陷会影响安卓2.1尽管如此***的系统4.4或者称KitKat由于这个系统和Adobe相关,据Bluebox据市场研究机构究机构 Gartner公司表示。Gartner估计今年会有11.7十亿安卓设备。
Android的弱点显示了安全研究人员和谷歌如何处理软件或程序中发现的漏洞。它还暗示了处理影响Android弱点的复杂性,因为修复不仅需要谷歌的相关调整,还需要不同的软件开发者和设备制造商。
据佛利斯塔尔说,Bluebox这项研究于3月下旬完成,并于3月31日将漏洞提交给谷歌。安卓安全团队在4月份开发了修复方法,并将补丁提交给供应商Bluebox在发现它们之前,供应商有90天的时间来修复它们。Bluebox市场上6300多种产品中的40种安卓设备已被测试。Bluebox计划下周在拉斯维加斯举行“黑帽”在安全技术会议上讨论了他们的发现。