Android爆潜伏4年大漏洞 绕过数字签名

  Bluebox Security 实验室一个团队的安全研究人员发现Android有一个已经存在四年的漏洞,可以允许恶意软件修改经过验证的安全应用程序,然后感染软件设备,而用户则完全无法察觉到这个恶意软件的存在。

 

  通常情况下每一个应用程序都是有数字签名的,软件开发者拥有密钥,供软件开放人员更新软件。如果密钥不匹配的话,就会被系统拒绝。而这个漏洞则可以绕过数字签名光明正大的修改APK文件,也就是说恶意代码完全可以在不被用户察觉的情况下完成对软件的修改。

  该团队说,这个BUG早在Android 1.6 的时候就存在,所以现在这个漏洞将会影响到99%的Android系统的手机。这个BUG已经在今年的2月份已经通知了谷歌了,并且制作了漏洞补丁。不过 因为Android系统的碎片化,所以现在只有三星Galaxy S4更新了补丁,而谷歌的Nexus设备的补丁则正在开发中。

  当然安卓党也不必惊慌,因为恶意软件要感染你的应用软件,就必须先进入你的手机。只要你到安全的站点下载,都是很安全的。

  关于 Android 数字签名

  在Android 系统中,所有安装到系统的应用程序都必有一个数字证书,此数字证书用于标识应用程序的作者和在应用程序之间建立信任关系。Android系统要求每一个安 装进系统的应用程序都是经过数字证书签名的,数字证书的私钥则保存在程序开发者的手中。这个数字证书并不需要权威的数字证书签名机构认证,它只是用来让应 用程序包自我认证。



  【更多手机游戏资讯、评测、攻略,请关注91手机游戏http://game.91.com
  【玩家论坛:http://ibbs.91.com/forum-660-1.html
  【手游交流QQ群:http://game.91.com/news/10302012/232653388.shtml

更多
快速发帖已有人参与评论
发表评论(网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述)