稍早資訊安全研究人員披露了一個新的 Android 手機漏洞,該漏洞可能讓已安裝的 App 程式在使用者不知情的狀況下遭到竄改。幾乎所有的 Android 裝置都受到影響,因為此漏洞從 Android 1.6 (甜甜圈) 版本即已存在,目前僅有 Samsung Galaxy S4 修正了這項問題。
什麼是「Master Key」金鑰漏洞?
此漏洞與 Android App 程式的簽署方式有關。所有的 Android App 程式都內含一個開發廠商提供的數位簽章,用來證明該程式「的確」 來自於該廠商,並且在傳送的過程當中從未被竄改。當 App 有新的版本時,除非新的版本也有來自於同一開發廠商的數位簽章,否則就無法更新。
此漏洞正是和這最後一個步驟有關。研究人員發現,歹徒即使「沒有」原始開發廠商的簽署金鑰,也能更新系統已安裝的 App 程式。簡而言之,任何已安裝的程式都可能被更新成惡意版本。
請注意,就技術而言,並沒有所謂的金鑰遭到外洩。當然,任何 App 程式都可能被竄改並用於惡意用途,但這當中並不是因為「金鑰」外洩。
有何風險?
此漏洞可讓歹徒將 Android 裝置上原本正常的 App 程式換成惡意程式。一些擁有許多裝置權限的 App 程式,如手機製造商或電信業者提供的 App 程式,尤其容易成為目標。
這類程式一旦進入裝置,它們的行為就像任何惡意 App 程式一樣,只不過使用者會以為它們是完全正常的程式。例如,一個遭到竄改/木馬化的網路銀行 App 程式,還是能夠像往常一樣運作,但使用者輸入的帳號密碼可能就會被歹徒所竊取。
使用者如何保護自己?
趨勢科技強烈建議使用者關閉安裝非 Google Play 來源應用程式的功能。這項設定在 Android 系統「設定」當中的「安全性」設定內。
Google 已經採取了一些措施來保護使用者。他們修改了線上商店的後端系統,任何想利用此漏洞的 App 程式都會被封鎖。因此,使用者只要不從其他來源下載 App 程式,也不要自行安裝 APK 檔案,就不會有此風險。該公司也提供了一個修正檔案來解決這項漏洞,並已提供給 OEM 廠商。
原文出處:Android Vulnerability Affects 99% of Devices – Trend Micro Users Protected
原文作者:Jonathan Leopando (技術通訊專員)
轉載自《雲端運算與網路安全趨勢部落格》
沒有留言:
張貼留言