安卓用户,你们摊上大事了!专家预测,下周或将初现漏洞攻击,国内99.9%用户暂“不设防”
该安全漏洞从Android 1.6以来就一直存在,凡近4年来的任何一款Android手机,都无法幸免。
国内技术专家还指出,谷歌软件更新走的是明文通信,一旦黑客通过流量劫持了某个应用,比如Gmail,就可以截获密码和账号,并推给用户一个木马更新包,如果这样,用户几乎铁定会中招。
7月8日下午,美国某黑客组织透露出该漏洞的一个关键技术细节,根据以往经验,攻击者可能在一两周内发起攻击。
7月3日,美国安全公司Bluebox Security发布公开声明称,发现Android系统重大安全漏洞,允许攻击者能将99%的应用程式转变成木马程序。数据显示,目前全球共有9亿多安卓用户,中国用户数超1亿,根据《IT时报》记者调查,几乎所有上述用户都对潜在的黑客攻击完全没有防范,也就是说一大半中国智能手机用户门户大开。
美安全公司披露可怕事实
Bluebox公司表示,黑客可在不改变应用密钥签名的情况下篡改 APK(安装包)代码,这意味着任何看似合法安全的应用均有可能内嵌有恶意代码。
根据Bluebox公司首席技术官Jeff Forristal的说法,通过漏洞,木马可以读取设备(Android)上任意手机应用的数据(电子邮件、短信、文档等),获取保存在手机上的所有账号和密码,接管并控制手机的正常功能。
Jeff Forristal透露,今年2月已将这个漏洞交给谷歌公司,他将会在7月底召开的美国黑帽黑客大会上披露更多该漏洞技术细节。
情况到底有多糟?
“我们已经知道是怎么回事了,还在做最后的演示案例,验证后才能发布准确的信息。”安天实验室高级研究员肖梓航是国内第一时间研究该漏洞的技术专家之一,他向《IT时报》记者表示,国内技术界已基本掌握情况。
肖梓航进一步表示:“安卓所有软件层面的安全机制都是基于签名来做的,现在开发者身份可以完全被冒充,这等于从技术上把原有的安全机制都打破了。”
肖梓航向记者举了一个例子,例如某用户装了一个新浪微博,原来只有新浪官方才能发布有效更新安装包,而现在不法分子也可能利用漏洞,冒充新浪,让该用户安装带有木马的“假新浪微博更新包”。“以前这样是行不通的,原版软件会报错,但现在利用该漏洞就可以做到,而且手机用户完全觉察不到。”
“影响是非常大的。”肖梓航感叹,“用户手机里有大量账号服务密码,包括买手机时预装的服务,现在这些都可以被篡改,攻击者可以把你的账号和密码劫持下来,发回去,一切都是神不知鬼不觉。”
S4是唯一安全的安卓手机?
截至记者发稿,谷歌公司一直没有对此事表态和正面回应。根据Bluebox公司的声明,谷歌公司应该在今年2月已经收到该漏洞报告,难道谷歌5个月来一直无动于衷?
在新浪微博上,几乎所有针对此次Android漏洞门的微博中,网友都注意到一个细节并对此大肆调侃。由于Bluebox称,除了三星Galaxy S4之外的所有Android手机都有此漏洞,唯独S4已打上补丁,所以不少网友在微博评论和转发中调侃道,这是三星的“广告帖”、“Bluebox无节操”。
实则不然,根据一位OHA(由谷歌发起的开放手机联盟)国内厂商技术人士告诉记者,其实早在今年4月,谷歌就针对该漏洞向所有OHA联盟厂商发布了补丁,“我得知此事后,翻阅了历史记录,发现了谷歌确实在4月份发出过这则补丁。不过并没有引起我们的注意。”
上述技术人士告诉记者,之所以三星S4已经打上补丁,因为这是一款最新上市的手机,三星第一时间更新了软件,国内厂商的反应还没这么快。
最新安卓手机相对安全
如果从Bluebox公司7月3日发布报告算起,下周可能就将有黑手触及该漏洞。这意味着,将有Android手机用户中招,国内用户的感染风险很大。
7月8日晚,全球最大的Android第三方编译团队CyanogenMod公布了针对该漏洞的补丁,这标志着,全球黑客已经基本掌握Bluebox公布的漏洞细节。
事实上,Jeff Forristal最担心的就是亚洲和中国,他表示,因为该地区有 500 多个独立的 Android 应用商店,这些应用商店很少或没有对应用上架进行鉴权验证的过程,这就使得木马程序可能在这些网站上大面积上架。
移动技术专家Weir Zhang表示,可以预见,未来数月内OHA联盟厂商如摩托罗拉、HTC、LG、索尼等发布的新机或将加上该补丁,而且谷歌应该也会在Google Play应用市场进行技术过滤,包含木马的Android将无法上架。
另外,Weir Zhang透露,谷歌目前已将该漏洞补丁设为CTS(谷歌)兼容性测试终端认证的必过项,这证明新上市的大品牌安卓手机将是安全的,不过国内不少终端厂商并未参与谷歌的CTS认证。“所以,中国消费者在购买山寨机和白牌机时需要特别小心,如果买到预装木马程序的手机,将造成很大损失。”
时报观察
一个难以补上的漏洞
现在,摆在中国和全球Android用户面前的难题是,发现漏洞了,该如何修补?就像发现了一个病毒,而且研制出了疫苗,但如何让全球数亿安卓用户主动接种“疫苗”,将是个大问题。
哪些人是安全的?
除了三星Galaxy S4手机用户之外,谷歌OHA厂商今后推出的新机都将是安全的,目前中国国内加入OHA联盟的厂商有华为、中兴、TCL、OPPO、联想和海尔。同时,中国电信、移动和联通也加入了该联盟,这意味着未来三大运营商推出的定制安卓手机终端可能也将升级。
哪些人不安全?
除此之外,几乎所有安卓手机和平板电脑用户目前的系统都是不安全的,存在Bluebox公布的漏洞,值得庆幸的是,目前全球范围内,还未发现黑客借助此漏洞攻击用户的案例。
但需要提醒的是,随着时间推移,技术细节会被逐渐披露,黑色产业链也将知晓,而且该漏洞很容易被利用,迷惑性和危害性都很大。
安卓用户如何防范?
Android系统与微软Windows不同,Windows可以在一个统一平台上自动联网更新,但Android不行,用户不能自动更新,必须等待硬件和手机厂商出台补丁,然后再由用户主动来打,这是在所有用户中推广补丁的最大难题。
目前三星、摩托罗拉、LG、华为等主流安卓手机制造商,都没有在各自官方网站发布漏洞补丁程序,供用户下载。因为在此之前,手机厂商没有发布类似软件升级补丁的惯例,同时,用户更没有登录这些网站升级手机系统的习惯。这次的漏洞对于手机厂商和用户来说都是头一次遭遇。
当然,现有安卓手机用户可以不为自己的手机打补丁,但必须做到一点,就是今后所有的Android应用都去Google Play官方市场下载,以保证安全。
潜在的风险在哪里?
目前来看,中国安卓用户对该漏洞尚不知晓,更谈不上防范,即便就算谷歌公布了补丁的下载地址,也难说会有多少用户主动下载升级。中国手机用户的安全意识还不健全。
在五花八门的第三方Android应用下载市场,在手机论坛的下载频道,在山寨机的预装程序中,在各种自主开发手机ROM中,木马程序都可能渗入其中,为安卓手机用户埋下“地雷”。