已經發現了一種新的Android漏洞。該錯誤稱為假ID,允許攻擊者竊取數據並基本接管電話。
據說,該安全孔使惡意軟件能夠模仿應用程序,它具有竊取敏感信息(例如信用卡號)的能力。假ID還允許黑客通過更改其設置來控制設備。
Bluebox Labs的研究人員發現的漏洞比大多數錯誤更有效,因為惡意軟件不需要用戶的許可來控制設備。
“脆弱性使惡意應用程序無需任何用戶通知即可模仿特殊認可的受信任的應用程序。這可能會導致各種後果。模仿3磅說在博客文章中。
假ID通過利用Android處理身份證書的方法來起作用,該證書驗證了應用程序似乎是什麼。身份證書是通過Verisign等證書機構頒發的。這意味著Web瀏覽器將信任Verisign發行的任何證書。根據Bluebox的說法,安全漏洞允許黑客創建自己的身份證書,然後通過證書授權發出聲稱。之後,攻擊者可以簽署具有惡意身份證書和偽造證書授權的申請。
脆弱性會影響所有Android手機。 Forristal表示,假ID的歷史可以追溯到2010年1月的Android 2.1的推出,並且可以在沒有Google Bug 13678484補丁的所有Android設備上使用。 Google已發出警告並於去年4月發布了一個補丁。但是,所有在Android 4.4 Kitkat較早的設備上運行的所有設備仍然容易受到惡意應用程序的影響,這些應用程序將特洛伊木馬代碼插入其他應用程序中。這可能導致惡意應用程序訪問數據並在其他應用程序上執行操作。
Google已經為假ID發送了一個通用代碼修復程序。目前,電話製造商和運營商正在研究將發送給用戶的固件更新。
