ADVERTISEMENT
行動安全公司 在部落格公佈一份報告,根據 Bluebox Labs 實驗室分析 Android 系統,發現從 Android 1.6 以來四年間都存在著應用程式 APK 的漏洞,駭客可用來竊取資料、甚至取得控制權,99% 的 Android 裝置都難逃此劫。
行動安全公司 CTO Jeff Forristal 在官方部落格,根據 Bluebox 安全研究團隊的調查,發現 Android 系統 4 年以來都存在一個大漏洞,駭客可在不破解應用程式的加密簽章(cryptographic signature)前提下,直接修改 Android 安裝包(APK),因此可改成木馬程式來竊取裝置資料、密碼,甚至用來取得裝置的控制權、包含發送訊息、電子郵件、撥打電話、開啟相機拍照、觀看文件等。
如果以今年 5 月 Google I/O 2013 公佈目前全世界已有 9 億台 Android 裝置來看,那幾乎就是 9 億台 Android 裝置都存在著風險。駭客可以透過木馬程式取得裝置上的所有應用程式資料和數據,也可以檢視帳戶的密碼,簡單來說,就是可接管手機的運作和控制功能。
ADVERTISEMENT
Jeff Forristal 指出這項漏洞在於 Android 應用程式對於批准(approved )和驗證(verified)間的「差異」,因此駭客不需要改變應用程式的加密簽章,即可竄改應用程式的程式碼。這也意謂著,只要有一個裝置、一個工程師,甚至是使用者都有能力在 Android 應用程式中嵌入惡意程式碼,尤其是目前 ,在缺乏認證或驗證程序之下更顯得危險。更甚者如果修改硬體製造商預載的應用程式,那便有機會控制整個系統。Bluebox 將會在本月在美國舉辦的上實際展示這項漏洞;
Bluebox 已經在今年 2 月告知 Google 這項漏洞,Google 已告知他們的裝置合作夥伴,但採用 Android 裝置的廠商和產品分散性太高,難以全部升級到最新版本系統。 對此事件詢問 Google,Google 指簡單回應幾個字:「我們不評論(We aren’t commenting.)」。
ADVERTISEMENT
▲Blubox 展示修改 Android 應用程式程式碼後取得裝置的所有權限。
資料來源:
延伸閱讀:
ADVERTISEMENT