安卓系统“假身份”漏洞
安全公司Bluebox Security发现,2010年Android 2.1以后的版本存在名为“假身份”(Fake ID)的漏洞,可能让恶意程序绕过Android的安全机制,假冒为合法的程序。Fake ID漏洞可让恶意程序藉由取得信赖应用的签名,绕过Android内的安全验证机制执行,因此只要安装一个仿冒的应用程序,就可能遭受到黑客的恶意行为,比如利用Adobe Flash webview 外挂执行权限注入木马程序、取得用户财务资料,或是取得整台Android设备的控制权限。
Fake ID最早出现在2010年一月发布的Android 2.1,所有执行2.1到代号为KitKat的Android 4.4 版系统的设备都会受到影响。Google已经在针对这个代码为13678484的Bug发布修补程序,并交给Android合作伙伴。Android 4.4由于在webview上做过修改而得以幸免于难。不过国内众多安卓系统因为厂商修改阉割,很多系统迟于升级补丁。
发表回复