2013年7月26日 星期五

首批瑣定Android 數位簽章漏洞的惡意程式現身

首批瑣定Android 數位簽章漏洞的惡意程式現身

此一被稱為「主密鑰」或「萬能金鑰」(Master Key)的漏洞允許駭客繞過數位簽章在合法的程式中藏匿惡意程式碼,還可使用既有的許可來執行機密任務。 

受感染程式畫面。(圖片來源:Symantec)

行動安全業者Bluebox Security在7月初揭露Android安全模組中的一項漏洞,讓駭客可以繞過數位簽章篡改合法程式,並宣稱有99%的Android裝置都受到影響。另一資安業者Symantec則在周三(7/24)表示,已在中國的Android程式市集中發現6款利用該漏洞的惡意程式。

Android應用程式都必須經過數位簽署程序,除了確保程式未被篡改,也可證明程式是出自於原有的發佈商。此外,Android平台也採用一個程式等級的審核系統,要執行機密任務時必須先獲得許可,而數位簽章的目的即是為了避免程式及所附帶的許可被挾持。

此一被稱為「主密鑰」或「萬能金鑰」(Master Key)的漏洞允許駭客繞過數位簽章在合法的程式中藏匿惡意程式碼,還可使用既有的許可來執行機密任務。

Symantec先是在中國的Android程式市集中發現兩款已被感染的程式,這兩款程式皆屬醫藥程式,但被注射了惡意碼,讓駭客能夠遠端控制使用者的裝置,竊取諸如IMEI或電話號碼的機密資料,還能傳送高價的簡訊,以及透過最高命令關閉某些中國行動安全軟體。

同一天Symantec再發現由同一名駭客操縱的其他4款被感染的程式,包含一個受歡迎的新聞程式,以及電玩遊戲程式、紙牌遊戲程式與抽獎程式等。

Symantec將這類已被感染的程式統稱為Android.Skullkey,而且迄今所發現的6款Android.Skullkey都是針對中國市場所設計,還會傳送簡訊給使用者所有的聯絡人,在簡訊中邀請友人一起玩遊戲,並附上一個行動遊戲網站的連結。

Symantec預期駭客會繼續利用此一漏洞來感染使用者的裝置,建議使用者僅透過有聲譽的Android程式市集下載程式。

轉載自《iThome》