2013年8月12日 星期一

發現影響 99% Android裝置的漏洞

發現影響 99% Android裝置的漏洞

稍早資訊安全研究人員披露了一個新的 Android 手機漏洞,該漏洞可能讓已安裝的 App 程式在使用者不知情的狀況下遭到竄改。幾乎所有的 Android 裝置都受到影響,因為此漏洞從 Android 1.6 (甜甜圈) 版本即已存在,目前僅有 Samsung Galaxy S4 修正了這項問題。

手機病毒 ANDROID

什麼是「Master Key」金鑰漏洞?

此漏洞與 Android App 程式的簽署方式有關。所有的 Android App 程式都內含一個開發廠商提供的數位簽章,用來證明該程式「的確」 來自於該廠商,並且在傳送的過程當中從未被竄改。當 App 有新的版本時,除非新的版本也有來自於同一開發廠商的數位簽章,否則就無法更新。

此漏洞正是和這最後一個步驟有關。研究人員發現,歹徒即使「沒有」原始開發廠商的簽署金鑰,也能更新系統已安裝的 App 程式。簡而言之,任何已安裝的程式都可能被更新成惡意版本。

請注意,就技術而言,並沒有所謂的金鑰遭到外洩。當然,任何 App 程式都可能被竄改並用於惡意用途,但這當中並不是因為「金鑰」外洩。

有何風險?

此漏洞可讓歹徒將 Android 裝置上原本正常的 App 程式換成惡意程式。一些擁有許多裝置權限的 App 程式,如手機製造商或電信業者提供的 App 程式,尤其容易成為目標。

這類程式一旦進入裝置,它們的行為就像任何惡意 App 程式一樣,只不過使用者會以為它們是完全正常的程式。例如,一個遭到竄改/木馬化的網路銀行 App 程式,還是能夠像往常一樣運作,但使用者輸入的帳號密碼可能就會被歹徒所竊取。

使用者如何保護自己?

趨勢科技強烈建議使用者關閉安裝非 Google Play 來源應用程式的功能。這項設定在 Android 系統「設定」當中的「安全性」設定內。

Google 已經採取了一些措施來保護使用者。他們修改了線上商店的後端系統,任何想利用此漏洞的 App 程式都會被封鎖。因此,使用者只要不從其他來源下載 App 程式,也不要自行安裝 APK 檔案,就不會有此風險。該公司也提供了一個修正檔案來解決這項漏洞,並已提供給 OEM 廠商。

原文出處:Android Vulnerability Affects 99% of Devices – Trend Micro Users Protected
原文作者:Jonathan Leopando (技術通訊專員)
轉載自《雲端運算與網路安全趨勢部落格》