如果“沙盒”听起来像是在阳光下度假的承诺,那么现实虽然不那么喜庆,但同样重要。 “沙箱”是“封闭环境”,应用程序在其中运行而不会危及操作系统的整个复杂结构。 Android显然采用了沙箱来确保恶意的第三方应用程序能够通过监测保镖来自 Google 的攻击,通过访问提升的权限或不应访问的信息来损害 Android 设备的安全性。
此外,去年,在其移动操作系统 4.3 版本中,山景公司甚至通过使用其 UID 加强对应用程序的识别来加强其沙箱,唯一识别号。
身份盗窃
然而,来自安全研究人员蓝盒公司发现了一个缺陷,可以冒充应用程序来授予自己权利。该漏洞被称为“假 ID”,允许恶意应用程序伪装成可信应用程序。为此,恶意黑客创建了一个虚假的识别码,一个虚假的签名,与具有良好声誉的应用程序的签名相对应。
然后,它可以离开沙箱来执行各种恶意操作,例如将特洛伊木马插入冒充 Adobe 工具的应用程序中,通过冒充 Google 钱包来访问财务信息,或更糟的是,完全控制设备,通过谷歌和摩托罗拉短暂拥有的 3LM 扩展。
事实上,根据 Bluebox 的说法,所有曾经使用 Android 应用程序经过验证的签名链的元素都受到了威胁。
99% 的 Android 设备受到影响
去年 4 月,Bluebox 专家明确警告谷歌发现了这一缺陷,在这家美国巨头的命名法中,该缺陷被称为 bug 13678484。谷歌已向所有合作伙伴提供了补丁。据 Bluebox 称,99% 的 Android 设备受到影响。这个数字可以解释为这个问题可以追溯到 2010 年 1 月的 Android 2.1。
谷歌最近表示金融时报之后“已被警告此缺陷,[他的团队有]发布了一个补丁并分发给[年代]合作伙伴。 »此外,为了安抚用户,谷歌明确表示,“监控所有提交到 Google Play 的应用程序,[有]没有发现任何试图利用此漏洞的痕迹 »。仍然强烈建议更新您的智能手机,以便受益于可用补丁的保护。
Bluebox 研究人员将在 8 月 2 日至 7 日在拉斯维加斯举行的下一届 Black Hat USA 会议上分享有关他们发现的更多细节。
另请阅读:
谷歌加强Android安全– 10/04/2014
资料来源:
Bluebox 博客
金融时报
