最新消息:code4apk全新上线,专注于android代码分享,android源码下载,打造专业的android学习分享平台!

360专家:Android再曝新签名漏洞 可伪造网银APP

android资讯 admin 1320浏览 0评论

7月30日,安卓系统再曝新的高危系统签名洞,360手机安全专家申迪称,这是继2013年7月发现的签名漏洞后,最新发现的可以假冒正规应用的系统签名漏洞。虽然较之前的漏洞危害要小一些,但威胁依然非常巨大,影响部分4.4及所有4.4以下版本的安卓系统,这意味着包括国内用户在内的超过九成以上安卓手机用户,都会受到影响。

国外安全公司Bluebox Security在报告中表示,根本问题在于Android校验应用身份时采取的方式。验证身份是网络世界中最根本的问题之一。例如,登录银行账号的人是否是该账号的所有者?某款应用是否真如其所宣称的那样?每一款Android应用都有自己的数字签名,也就是ID卡。

例如,某手机APP在Android上有一个指定签名,而该应用开发商开发的所有程序都有一个基于该签名的ID。但Bluebox却发现,当一款应用亮出该公司ID时,Android不会却向该应用开发商核实该ID的真实性。换句话说,网络犯罪分子可以利用假冒的签名来开发恶意软件,从而感染用户的整个系统。

严重的是该问题并不局限于某一款APP:黑客还可以创建一个假冒手机网银APP的恶意软件,然后访问用户的支付账号和财务数据。系统管理软件也会存在同样的问题,使得黑客能够控制整个系统。

360手机安全专家申迪表示,该问题会影响到2010年1月发布的Android 2.1系统及更高版本,但最近的Android 4.4奇巧系统已经修复了与Adobe有关的漏洞。不过仍然影响到部分4.4系统。这一影响覆盖了超过九成以上的安卓手机用户。

“该漏洞主要威胁之一是使用了webview(网页浏览)组件的应用存在隐私数据失窃、被恶意监控的危害。另外就是攻击者能静默获得NFC的控制权限,可能会对Google Wallet(谷歌钱包)这类的支付应用产生威胁。虽然同是签名相关的问题,这个漏洞与Master Key相比,危害要小一点。”申迪表示。

如何防范?申迪指出由于这种攻击需要安装恶意APK才会触发,所以只要下载应用通过360手机助手这样的整个渠道下载APP,不让手机感染利用该漏洞的恶意程序。

转载请注明:android源码下载 » 360专家:Android再曝新签名漏洞 可伪造网银APP

发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

网友最新评论 (1)

  1. 除了慢 啥都好
    新用户2461722017-04-10 22:18 回复