安卓用戶,你們攤上大事了!專家預測,下周或將初現漏洞攻擊,國內99.9%用戶暫“不設防”
該安全漏洞從Android 1.6以來就一直存在,凡近4年來的任何一款Android手機,都無法幸免。
國內技術專家還指出,谷歌軟件更新走的是明文通信,一旦黑客通過流量劫持了某個應用,比如Gmail,就可以截獲密碼和賬號,并推給用戶一個木馬更新包,如果這樣,用戶幾乎鐵定會中招。
7月8日下午,美國某黑客組織透露出該漏洞的一個關鍵技術細節,根據以往經驗,攻擊者可能在一兩周內發起攻擊。
7月3日,美國安全公司Bluebox Security發布公開聲明稱,發現Android系統重大安全漏洞,允許攻擊者能將99%的應用程式轉變成木馬程序。數據顯示,目前全球共有9億多安卓用戶,中國用戶數超1億,根據《IT時報》記者調查,幾乎所有上述用戶都對潛在的黑客攻擊完全沒有防范,也就是說一大半中國智能手機用戶門戶大開。
美安全公司披露可怕事實
Bluebox公司表示,黑客可在不改變應用密鑰簽名的情況下篡改 APK(安裝包)代碼,這意味著任何看似合法安全的應用均有可能內嵌有惡意代碼。
根據Bluebox公司首席技術官Jeff Forristal的說法,通過漏洞,木馬可以讀取設備(Android)上任意手機應用的數據(電子郵件、短信、文檔等),獲取保存在手機上的所有賬號和密碼,接管并控制手機的正常功能。
Jeff Forristal透露,今年2月已將這個漏洞交給谷歌公司,他將會在7月底召開的美國黑帽黑客大會上披露更多該漏洞技術細節。
情況到底有多糟?
“我們已經知道是怎么回事了,還在做最后的演示案例,驗證后才能發布準確的信息。”安天實驗室高級研究員肖梓航是國內第一時間研究該漏洞的技術專家之一,他向《IT時報》記者表示,國內技術界已基本掌握情況。
肖梓航進一步表示:“安卓所有軟件層面的安全機制都是基于簽名來做的,現在開發者身份可以完全被冒充,這等于從技術上把原有的安全機制都打破了。”
肖梓航向記者舉了一個例子,例如某用戶裝了一個新浪微博,原來只有新浪官方才能發布有效更新安裝包,而現在不法分子也可能利用漏洞,冒充新浪,讓該用戶安裝帶有木馬的“假新浪微博更新包”。“以前這樣是行不通的,原版軟件會報錯,但現在利用該漏洞就可以做到,而且手機用戶完全覺察不到。”
“影響是非常大的。”肖梓航感嘆,“用戶手機里有大量賬號服務密碼,包括買手機時預裝的服務,現在這些都可以被篡改,攻擊者可以把你的賬號和密碼劫持下來,發回去,一切都是神不知鬼不覺。”
S4是唯一安全的安卓手機?
截至記者發稿,谷歌公司一直沒有對此事表態和正面回應。根據Bluebox公司的聲明,谷歌公司應該在今年2月已經收到該漏洞報告,難道谷歌5個月來一直無動于衷?
在新浪微博上,幾乎所有針對此次Android漏洞門的微博中,網友都注意到一個細節并對此大肆調侃。由于Bluebox稱,除了三星Galaxy S4之外的所有Android手機都有此漏洞,唯獨S4已打上補丁,所以不少網友在微博評論和轉發中調侃道,這是三星的“廣告帖”、“Bluebox無節操”。
實則不然,根據一位OHA(由谷歌發起的開放手機聯盟)國內廠商技術人士告訴記者,其實早在今年4月,谷歌就針對該漏洞向所有OHA聯盟廠商發布了補丁,“我得知此事后,翻閱了歷史記錄,發現了谷歌確實在4月份發出過這則補丁。不過并沒有引起我們的注意。”
上述技術人士告訴記者,之所以三星S4已經打上補丁,因為這是一款最新上市的手機,三星第一時間更新了軟件,國內廠商的反應還沒這么快。
最新安卓手機相對安全
如果從Bluebox公司7月3日發布報告算起,下周可能就將有黑手觸及該漏洞。這意味著,將有Android手機用戶中招,國內用戶的感染風險很大。
7月8日晚,全球最大的Android第三方編譯團隊CyanogenMod公布了針對該漏洞的補丁,這標志著,全球黑客已經基本掌握Bluebox公布的漏洞細節。
事實上,Jeff Forristal最擔心的就是亞洲和中國,他表示,因為該地區有 500 多個獨立的 Android 應用商店,這些應用商店很少或沒有對應用上架進行鑒權驗證的過程,這就使得木馬程序可能在這些網站上大面積上架。
移動技術專家Weir Zhang表示,可以預見,未來數月內OHA聯盟廠商如摩托羅拉、HTC、LG、索尼等發布的新機或將加上該補丁,而且谷歌應該也會在Google Play應用市場進行技術過濾,包含木馬的Android將無法上架。
另外,Weir Zhang透露,谷歌目前已將該漏洞補丁設為CTS(谷歌)兼容性測試終端認證的必過項,這證明新上市的大品牌安卓手機將是安全的,不過國內不少終端廠商并未參與谷歌的CTS認證。“所以,中國消費者在購買山寨機和白牌機時需要特別小心,如果買到預裝木馬程序的手機,將造成很大損失。”
時報觀察
一個難以補上的漏洞
現在,擺在中國和全球Android用戶面前的難題是,發現漏洞了,該如何修補?就像發現了一個病毒,而且研制出了疫苗,但如何讓全球數億安卓用戶主動接種“疫苗”,將是個大問題。
哪些人是安全的?
除了三星Galaxy S4手機用戶之外,谷歌OHA廠商今后推出的新機都將是安全的,目前中國國內加入OHA聯盟的廠商有華為、中興、TCL、OPPO、聯想和海爾。同時,中國電信、移動和聯通也加入了該聯盟,這意味著未來三大運營商推出的定制安卓手機終端可能也將升級。
哪些人不安全?
除此之外,幾乎所有安卓手機和平板電腦用戶目前的系統都是不安全的,存在Bluebox公布的漏洞,值得慶幸的是,目前全球范圍內,還未發現黑客借助此漏洞攻擊用戶的案例。
但需要提醒的是,隨著時間推移,技術細節會被逐漸披露,黑色產業鏈也將知曉,而且該漏洞很容易被利用,迷惑性和危害性都很大。
安卓用戶如何防范?
Android系統與微軟Windows不同,Windows可以在一個統一平臺上自動聯網更新,但Android不行,用戶不能自動更新,必須等待硬件和手機廠商出臺補丁,然后再由用戶主動來打,這是在所有用戶中推廣補丁的最大難題。
目前三星、摩托羅拉、LG、華為等主流安卓手機制造商,都沒有在各自官方網站發布漏洞補丁程序,供用戶下載。因為在此之前,手機廠商沒有發布類似軟件升級補丁的慣例,同時,用戶更沒有登錄這些網站升級手機系統的習慣。這次的漏洞對于手機廠商和用戶來說都是頭一次遭遇。
當然,現有安卓手機用戶可以不為自己的手機打補丁,但必須做到一點,就是今后所有的Android應用都去Google Play官方市場下載,以保證安全。
潛在的風險在哪里?
目前來看,中國安卓用戶對該漏洞尚不知曉,更談不上防范,即便就算谷歌公布了補丁的下載地址,也難說會有多少用戶主動下載升級。中國手機用戶的安全意識還不健全。
在五花八門的第三方Android應用下載市場,在手機論壇的下載頻道,在山寨機的預裝程序中,在各種自主開發手機ROM中,木馬程序都可能滲入其中,為安卓手機用戶埋下“地雷”。
