北京时间7月4日晚间消息,移动网络安全公司Bluebox Security周四宣布,在Android操作系统中发现重大安全漏洞,可能影响到当前99%的Android设备。
Bluebox Security称,该漏洞自四年前的Android 1.6(Donut)就已经存在。它允许恶意开发人员修改合法APK文件的代码,同时并不破坏其密码签名。
http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/
小分队对该漏洞产生了浓厚的兴趣。通过对Android源码的分析,我们已完全掌握了该漏洞的原理和技术细节,并建立起针对该漏洞的攻击模型。攻击试验证明该漏洞确实危害性极大。同时该漏洞的补丁方案也已得到确立。
经过分析,我们总结出以下两类攻击方式:
1. 篡改系统内置应用,尤其是System uid的应用。该方式能使恶意代码的执行权限提升到system级别,以至于几乎所有的Android系统里的权限验证对其都形同虚设。但值得庆幸的是,绝大多数Android手机里的内置应用都是以优化过的形式存放在/system/app目录。优化过的应用由apk文件和odex文件构成。对于这种形式的应用,该漏洞无法对其造成攻击。
2. 篡改第三方应用。这类攻击使得传统对于APK包的签名Hash验证失效,恶意代码的隐蔽性将更好。但我们已经有方法可以非常有效的鉴别这类篡改。