影响99% Android手机漏洞已被发现

趋势科技揭露了Android手机中一个名为‘MasterKey’的密钥漏洞,该漏洞可能导致应用程序在用户不知情的情况下被篡改。文章详细解释了漏洞原理、风险、防护措施,并提供了趋势科技移动安全软件的最新更新信息。
摘要由CSDN通过智能技术生成

作者:趋势科技

早前有信息安全研究人员披露了一个新的 Android 手机漏洞,该漏洞可能让已安装的应用程序在用户不知情的状况下遭到窜改。几乎所有 Android 设备都受到影响,因为此漏洞从 Android 1.6(甜甜圈)版本即已存在,目前仅有 Samsung Galaxy S4 修正了这项问题。

此漏洞(有人称之为“Master Key”密钥漏洞)吸引了大批媒体关注,但并非所有的媒体报导都正确。趋势科技已经更新了趋势科技移动安全软件个人版,可保护我们的用户,但我们还是要特别在此澄清一下这到底是怎么回事,这是什么样的威胁,以及用户该做些什么。

 

什么是“Master Key”密钥漏洞?

此漏洞与 Android 应用程序的签名方式有关。所有的 Android 应用程序都内含一个开发商提供的数字签名,用来证明该程序“的确”来自该厂商,并且在传输过程中未被窜改。当应用有新版发布时,除非新的版本也有来自同一开发商的数字签名,否则就无法更新。

此漏洞正是和这最后一个步骤有关。研究人员发现,歹徒即使“没有”原始开发商的签名密钥,也能更新系统已安装的应用程序。简而言之,任何已安装的程序都可能被更新成恶意版本。

请注意,从技术角度来说,并没有所谓的密钥遭到外泄。当然,任何应用程序都可能被窜改并用于恶意用途,但这当中并不是因为“密钥”外泄。

有何风险?

此漏洞可让歹徒将 Android 设备上原本正常的应用程序换成恶意软件。一些拥有许多设备权限的应用程序,例如手机制造商或电信运营商提供的应用程序,尤其容易成为目标。

这类程序一旦进入设备,它们的行为就像任何恶意应用程序一样,只不过用户会以为它们是完全正常的程序。例如,一个遭到窜改/木马化的网络银行应用程序,还是能像往常一样运作,但用户输入的账号密码可能就会被歹徒所窃取。

用户如何保护自己?

趋势科技已经更新了移动设备应用程序信誉评等数据库,可检测专门攻击这项漏洞的应用程序,但目前尚未发现任何这类程序。尽管如此,我们已针对趋势科技移动安全软件个人版发布了最新的病毒特征,确保我们能够检测到专门攻击此漏洞的应用程序(用户只要更新到 1.513.00 或更新版本的病毒库就能安全无虞,所有攻击此漏洞的应用程序都将被检测为 Android_ExploitSign.HRX)。如此已足够确保我们的用户不受此威胁影响。

趋势科技强烈建议用户关闭安装非 Google Play 来源应用程序的功能。这项设定在 Android 系统“设定”当中的“安全性”选项内。

Google 已经采取了一些措施来保护用户。他们修改了在线商店的后台系统,任何想利用此漏洞的应用程序都会被封锁。因此用户只要不从其他第三方来源下载应用程序,也不要自行安装 APK 文件,就不会有此风险。该公司也提供了一个更新程序来解决这项漏洞,并已提供给 OEM 厂商。我们希望这项修正的急迫性可以让部署不要受到延迟

更新

我们找到了一篇有关同一攻击使用另一种手法来略过 Android 签名检查机制的报导,这项手法使用的是 Java Zipfile 实例中的一个漏洞。目前我们正在研究如何解决这项问题,所有使用此手法的恶意软件都将被检测为 AndroidOS_ExploitSign.HRXA。

◎原文来源:

Android Vulnerability Affects 99% of Devices – Trend Micro Users Protected

 

 

 

本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!


评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值