Android 安全大危機！報告指出 99% 的 Android 裝置都有被駭風險

行動安全公司 Bluebox 在部落格公佈一份報告，根據 Bluebox Labs 實驗室分析 Android 系統，發現從 Android 1.6 以來四年間都存在著應用程式 APK 的漏洞，駭客可用來竊取資料、甚至取得控制權，99% 的 Android 裝置都難逃此劫。

行動安全公司 Bluebox CTO Jeff Forristal 在官方部落格發表文章，根據 Bluebox 安全研究團隊的調查，發現 Android 系統 4 年以來都存在一個大漏洞，駭客可在不破解應用程式的加密簽章(cryptographic signature)前提下，直接修改 Android 安裝包(APK)，因此可改成木馬程式來竊取裝置資料、密碼，甚至用來取得裝置的控制權、包含發送訊息、電子郵件、撥打電話、開啟相機拍照、觀看文件等。

如果以今年 5 月 Google I/O 2013 公佈目前全世界已有 9 億台 Android 裝置來看，那幾乎就是 9 億台 Android 裝置都存在著風險。駭客可以透過木馬程式取得裝置上的所有應用程式資料和數據，也可以檢視帳戶的密碼，簡單來說，就是可接管手機的運作和控制功能。

Jeff Forristal 指出這項漏洞在於 Android 應用程式對於批准(approved )和驗證(verified)間的「差異」，因此駭客不需要改變應用程式的加密簽章，即可竄改應用程式的程式碼。這也意謂著，只要有一個裝置、一個工程師，甚至是使用者都有能力在 Android 應用程式中嵌入惡意程式碼，尤其是目前全球超過 500 個獨立的 Android App Store ，在缺乏認證或驗證程序之下更顯得危險。更甚者如果修改硬體製造商預載的應用程式，那便有機會控制整個系統。Bluebox 將會在本月在美國舉辦的黑帽大會上實際展示這項漏洞；

Bluebox 已經在今年 2 月告知 Google 這項漏洞，Google 已告知他們的裝置合作夥伴，但採用 Android 裝置的廠商和產品分散性太高，難以全部升級到最新版本系統。venturebeat 對此事件詢問 Google，Google 指簡單回應幾個字：「我們不評論（We aren’t commenting.）」。