IBM安全研究员发出警告,大约86%的Android手机都存在一个严重安全漏洞,允许攻击者窃取高度敏感的银行服务和VPN服务证书,用于解锁手机的PIN码或指纹模式。基于堆栈的缓冲区溢出漏洞存在于Android KeyStore中——KeyStore专门用于储存加密密钥和证书。研究人员称,攻击者可以利用该bug远程执行代码,窃取银行和VPN等应用的密钥。

Google在Android 4.4 KitKat中修复了这个漏洞,但大约86.4%的Android手机运行的是4.4之前的版本。攻击者要利用该漏洞需要克服许多障碍,包括系统的数据执行保护和地址空间布局随机化,以及需要在手机上安装恶意应用.