首页 >军事

360专家Android再曝新签名漏洞可

2019-05-14 22:48:00 | 来源: 军事

7月30日,安卓系统再曝新的高危签名漏洞,360安全专家称,这是继2013年7月发现的签名漏洞后,再次发现的可以假冒正规运用签名颁布者的漏洞。这一漏洞影响部分4.4及所有4.4以下版本的安卓系统,这意味着包括国内用户在内的超过9成以上安卓用户,都会受到影响。

国外安全公司Bluebox Security在报告中表示,根本问题在于Android校验应用身份时采取的方式。验证身份是络世界中根本的问题之一。例如,登录银行账号的人是否是该账号的所有者?某款运用是否真如其所宣称的那样?每一款Android应用都有自己的数字签名,也就是ID卡。

例如,某APP在Android上有一个指定签名,而该应用开发商开发的所有程序都有一个基于该签名的ID。但Bluebox却发现,当一款运用亮出该公司ID时,Android不会验证签名颁布者的真伪。换句话说,络犯罪分子可以利用恶意构造的签名来开发恶意软件,从而突破一些运用的沙箱保护、或者偷偷取得一些较高的系统权限。

360安全专家表示,该问题会影响到2010年1月发布的Android 2.1系统及更高版本和部分4.4系统。这一影响覆盖了超过9成以上的安卓用户。

该漏洞主要威胁之一是使用了webview(页浏览)组件的运用存在隐私数据失窃、被歹意监控的危害。另外就是攻击者能静默获得NFC的控制权限,可能会对Google Wallet(谷歌钱包)这类的支付运用产生威胁。虽然同是签名相关的问题,这个漏洞与安卓系统签名漏洞相比,危害要小一点。360安全专家表示。

如何防范?360安全专家指出由于这种攻击需要安装恶意APK才会触发,所以只要下载应用通过360助手这样的整个渠道下载APP,不让感染利用该漏洞的恶意程序。

白带多是什么原因
宫颈炎的治疗方法
女人为什么会经期延长

猜你喜欢