99%安卓手機或存重大安全漏洞

本刊記者 | 黃海峰

近日， Android（安卓）操作系統被曝存在一個系統級高危漏洞，99%的Android設備面臨巨大風險。相關安全問題研究人員認為，這個缺陷讓黑客獲得了一把進入Android系統的“萬能鑰匙”，黑客甚至可以“控制手機的正常功能”。該事件引起眾多Android手機用戶的擔憂，成為業(yè)界關注焦點。

影響大、解決難

據悉，每個Android應用程序都會有一個數字簽名，來保證應用程序在發(fā)行過程中不被篡改。該漏洞是由于Android系統APK安裝包校驗不完整導致的。黑客利用該漏洞在不破壞APP數字簽名的情況下，可篡改任何正常手機應用，并進而控制中招手機，實現偷賬號、竊隱私、打電話或發(fā)短信等任意行為，從而使手機瞬間淪為“肉雞”。

此次漏洞影響范圍很大，且難以很快解決。從Android4年前的1.6版到最流行的Android4.0全部存在Android系統簽名漏洞，漏洞涉及的Android設備數以億計。IDC市場研究公司5月份統計，世界上75%的智能手機都使用Android操作系統。

據了解，谷歌今年2月就已收到了上述漏洞信息，但并未就此作出公開回應，也沒有給出官方補丁的發(fā)布日程表。7月1日谷歌宣稱已經開發(fā)出了相應補丁程序，并已將其提供給三星等OEM廠商。但是，由于大部分Android手機使用的均為非原生Android系統，涉及全球數以萬計的Android手機廠商。因此，該漏洞在短期內得到谷歌官方大面積修復的可能性較低。

最佳途徑：殺毒軟件

業(yè)內人士認為，對普通Android用戶而言，目前能快速解決威脅的最佳途徑是依靠可隨時升級的Android手機殺毒軟件。近日騰訊、360、金山毒霸等眾多殺毒廠商迅速采取了行動，針對Android系統簽名漏洞完成緊急升級，推出查殺工具。

“漏洞不僅僅這一個。”上述騰訊人士介紹，騰訊獨家發(fā)現的第二個漏洞是由于Android系統軟件簽名校驗不完整導致的。Android系統在驗證系統軟件的時候只對軟件的AndroidManifest.xml文件進行了簽名校驗，而沒有對軟件的其他文件做簽名校驗。當黑客將含有病毒或者木馬的代碼注入系統軟件的dex文件中時，Android系統會認為該軟件是安全的，從而允許利用了該漏洞的惡意軟件被成功安裝。

騰訊移動安全實驗室聯合騰訊手機管家發(fā)布上述兩個漏洞的專殺工具Master Key，補上漏洞。據介紹，騰訊手機管家發(fā)布Master Key專殺工具，完善了APK安裝包的校驗流程以及Android系統軟件的簽名校驗流程，及時查殺利用該類漏洞的病毒或者惡意軟件。

另外，業(yè)內人士建議，除了升級手機殺毒軟件，用戶還應從官方網站等正規(guī)、安全的渠道下載手機應用，以免下載到被惡意篡改的帶毒程序。