首页 > 信息安全 > 正文

Android也有棱镜门?

2013-07-08 10:53:34  来源:互联网

摘要:就在日前,Bluebox Security 实验室一个团队的安全研究人员发现Android有一个已经存在四年的漏洞,黑客无需破坏用于认证的加密签名便能够修改一款应用的APK。
关键词: Android 黑客

    身处在这个大数据时代,我们已经习惯越来越多的隐私被泄露了。特别是在中国,大部分用户对个人隐私是不重视的,于是,我们的信息不断被买卖。还分阶级算钱,有些人的个人信息只值几分钱,有的值几毛钱,而一些高阶级人士,最多也就值个十几块。


    我们的个人隐私被各个行业出卖,运营商、银行、酒店,以及部分网站,这些信息甚至在X宝就能买到。随着步入大数据时代,这几年不断爆出关于个人隐私的事件。


    在今年的315,央视就曝光了部分公司通过追踪用户cookie、分析邮件内容和收集用户隐私,部分安卓系统手机应用软件严重窃取用户资料等各种黑幕,不过这些都是老调重弹了,对于业内人士而言,这些早就不是什么新鲜事。但对于普通用户来说,这些事情却是第一次听到。


    除了315,还有就是闹得沸沸扬扬的棱镜门事件:美国中情局前职员爱德华·斯诺登爆料:“棱镜”窃听计划,始于2007年的小布什时期,美国情报机构一直在九家美国互联网公司中进行数据挖掘工作,从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类:信息电邮,即时消息,视频,照片,存储数据,语音聊天,文件传输,视频会议,登录时间,社交网络资料的细节,其中包括两个秘密监视项目,一是监视、监听民众电话的通话记录,二是监视民众的网络活动。


    这件事情被曝光之后,全球哗然,这不禁让我们想起了1998年的黑色喜剧《楚门的世界》,这部电影向我们展现了一个平凡的小人物是怎样在自己毫不知情的情况下被监视和制造成闻名的电视明星,却完全被剥夺了自由、隐私乃至尊严,成为大众娱乐工业的牺牲品。


    在大数据时代,我们都是赤裸裸的,目前除了大脑内的想法还无法监视之外,我们所做的一切事情,都有迹可循,也许在不久的将来,就连我们脑里的想法,都可以知道得一清二楚。这实在令人感到可怕。

\

    就在日前,Bluebox Security 实验室一个团队的安全研究人员发现Android有一个已经存在四年的漏洞,黑客无需破坏用于认证的加密签名便能够修改一款应用的APK。换句话说,恶意软件将可以允许黑客远程获取受感染设备的信息并控制其功能,比如通话和信息等等,这些全都不会被设备用户、谷歌或是应用开发者注意。


[page]    这个漏洞可以追溯到Android 1.6,也就是四年前。


    这里引用顺子在知乎上的一段解释:


    要理解这种做法带来的危害性,首先要大致了解Android的签名工作机制:


    每个应用都必须签名


    应用可以被不同的签名文件签名(如果有源代码或者反编译后重新编译)


    同一个应用如果签名不同则不能覆盖安装


    在之前,一些恶意开发者会采用反编译重新编译的方法来给各种应用夹带私货然后偷偷上传到各个渠道等着小白鼠自己上钩,比如我反编译个QQ,加了个广告,忽悠到人装了……从此你的手机就各种弹广告你还不知道是哪个软件干的……起码普通用户是不会知道了,除非挨个儿卸载尝试。


    但是这种做法有一个弊端(对于恶意开发者而言),恶意开发者一定拿不到QQ官方的签名文件,于是只能用自己的签名文件签名……然后用户如果之前安装过官方版本的QQ就会发现“签名不一致”的提示,各大应用市场也可以通过这种办法来鉴别(比如某荚提供的洗白白功能其实就是在对比签名),虽然还是会有人中招,但是也算是有应对之法。


    如果此文说的漏洞确实存在,意味着这些恶意开发者们可以在不破坏原有官方签名的情况下夹带私货……意味着将极大提高识别难度,那么就会有更多的人中招。


    如何避免危害:只从可信赖的安全的渠道下载应用,比如Google Play,尽量避免通过论坛下载应用,各种手机论坛应该是恶意应用的相对重灾区,第三方市场尚有可能通过特殊的审核机制尽量避免未知来源的恶意应用(不完全),论坛基本是无事前审核的……至多在被举报以后删帖。


    如果这个漏洞真的允许黑客在不破坏原来的签名下,还能自由修改里面的代码的话,那就很恐怖了。这个漏洞还是已经存在四年了。


    由于最近都在讨论棱镜门事件,如果我们将Android的这个漏洞和棱镜门事件串联一起的话,那事件可能就变得不太简单了。棱镜门事件爆发之后,有媒体指出,微软在每发现一个漏洞后,都会主动将这个漏洞告知美国,然后美国在这个漏洞补丁出来之前,就通过这个漏洞开始攻击目标电脑,然后盗取信息。


    如果这个漏洞是谷歌故意设下的后门,那知道这个后门的黑客,就可以随意修改全球各地,不同地区的主流应用,然后盗取信息。这些行为几乎不被发现,因为签名完全一样。


    目前安卓手机已经占领了大部分市场,安全性不高,恶意软件泛滥至极,不管这次Android漏洞是不是棱镜门,但从这个漏洞我们可以得知,所谓家贼难防,监视用户信息不一定要从网络入手,从手机应用入手会更容易,且不易被发现,因为大部分人都是小白。


    前一段时间,也爆出了硬件病毒的事件,可以从充电器里植入芯片,然后攻陷手机。随着时代的发展,我们只会越来越赤裸裸,所谓的安全只会是一种信任。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:fanwei

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。