谷歌的安卓系统存在假身份安全问题 - 彭博社

摄影：Denis Doyle/Bloomberg谷歌的安卓操作系统存在一个安全漏洞，可能允许黑客冒充受信任的应用程序，并可能劫持您的手机或平板电脑，根据今天发布的研究。

基本问题在于安卓检查——或者说，不检查——某些应用程序是否如其所说的那样，Bluebox Security表示，该公司发现了这一漏洞。因此有了这个引人注目的名字，“假身份证”。

验证身份是在线上最基本的问题之一。有人登录银行账户时，是否是该账户的所有者？一个应用程序是否如其所声称的那样？总部位于旧金山的Bluebox帮助公司保护其移动设备上的数据，其员工致力于研究和理解Bluebox构建的移动操作系统的架构，首席技术官Jeff Forristal说。

每个安卓应用程序都有自己的数字签名——本质上是一张身份证。例如，Adobe Systems在安卓上有一个特定的签名，所有来自Adobe的程序都有一个基于该签名的ID。Bluebox发现，当一个应用程序闪现Adobe ID时，安卓并不会向Adobe确认它是否是真正的。这意味着恶意行为者可以基于Adobe的签名创建恶意软件并感染您的系统。这个问题并不特定于Adobe；黑客可以创建一个冒充Google Wallet的恶意应用程序，然后访问支付和财务数据。相同的问题也适用于某些设备上的管理软件，允许对整个系统的完全控制。

“我们基本上发现了一种创建假身份证的方法，”Forristal说。“有不同的途径。归根结底：我可以创建一张假身份证。问题是，我该创建哪种假身份证？”

这个漏洞影响从2.1（2010年1月发布）及以上的Android系统，尽管最新版本4.4或KitKat已经修补了与Adobe相关的漏洞，Bluebox表示。为了给出一个规模的概念：根据Gartner的说法，从2012年到2013年，约有14亿台新设备搭载Android操作系统。Gartner估计今年将有额外的11.7亿台Android设备出货。

“我们感谢Bluebox负责任地向我们报告这个漏洞；第三方研究是增强Android用户安全性的一种方式，”谷歌发言人Christopher Katsaros说。

这个特定漏洞的揭示说明了安全研究人员和谷歌如何处理软件或程序中的缺陷发现。它还显示了处理影响Android的漏洞的复杂性，因为修复需要不仅来自谷歌，还需要来自各种应用开发者和设备制造商的调整。

根据Forristal的说法，Bluebox在3月底完成了研究，并在3月31日之前将漏洞提交给谷歌。Android安全团队在4月开发了修复程序，并将补丁提供给供应商，供应商有90天的时间在Bluebox公布其发现之前实施它。他补充说，Bluebox测试了市场上6300多款Android设备中的约40款。目前，Bluebox只知道有一家供应商发布了补丁。

谷歌Play和验证应用程序已增强，以保护用户免受假ID问题的影响，谷歌发言人卡萨罗斯说。

“目前，我们已扫描所有提交到谷歌Play的应用程序，以及谷歌从谷歌Play外部审核的应用程序，我们没有看到利用此漏洞的尝试证据，”卡萨罗斯说。

Bluebox计划在下周的 黑帽大会上讨论其发现。预计在那之前会有更多令人不安的安全新闻。黑帽大会往往会揭露这些问题。

(更新：包括谷歌发言人的评论。)