2013年7月5日 星期五

Bluebox:99%的Android App都可能淪為木馬程式

Bluebox:99%的Android App都可能淪為木馬程式

安全公司Bluebox Security的研究人員在Android安全模型(Security Model)中發現,其允許攻擊者能將99%的應用程式轉變成木馬程式的安全漏洞。

android-trojan

根據Bluebox Security技術長Jeff Forristal,其在自家公司官網上貼文闡述該安全漏洞是如何運作的,以及該應用程式可能被修改用來進行竊取資料,抑或連線至殭屍網路的可能勾當,同時從應用商店、手機到終端使用者完全視而不見。

「該安全漏洞,打從Android 1.6釋出以來就一直存在,凡近4年來的任何Android手機,將近9億支裝置,都有可能受到影響。」

隱藏在該安全漏洞背後的核心問題,莫過於Android應用程式是如何被驗證與安裝。每個應用程式皆有自己加密簽章,以確保應用程式的內容不會遭到篡改。儘管如此,該安全漏洞不但能允許攻擊者變更應用程式的內容,甚至留下了合法完整的簽章。

再再顯示出該安全漏洞有可能是簡單的密碼雜湊碰撞攻擊(cryptographic hash collision attack),且多半歸因於雜湊演算法中不良的選擇所致;不論如何,Forristal的貼文並沒有再做更進一步的披露。

「該安全漏洞能對應用程式進行變更,但卻不會對應用程式的密碼簽章造成任何影響,尤其是駭客可以瞞天過海地讓Android相信,明明已經變更的應用程式完全沒有改變。」

目前該公司尚未釋出任何概念驗證碼,但其宣稱該漏洞會對HTC Android手機上的系統軟體資訊進行修改,並且將相關擷圖上傳到其官方部落格上。

資料來源:ZDNet
轉載自《網路資訊雜誌》