Android被曝存在重大安全漏洞：可創造假ID

7月30日訊息，據國外媒體報導，安全公司Bluebox Security發現，2010年Android 2.1以後的版本存在名為“假身份”(Fake ID)的漏洞，能讓惡意程式繞過Android的安全機制，假冒為合法的程式。


據博雲網介紹，Android應用安全仰賴PKI機制，Android系統上一般應用程式要在獲得憑證完成數字簽名驗證後，才可以在Android上執行。如果無法透過驗證，就只能在Android的沙箱環境下執行。


然而有些應用，如Adobe Flash、Google Wallet等被視為信賴應用，其憑證是寫入Android底層程式碼中(AOSP)，這種簽名具有較高許可權可直接執行在Android上，像是Flash可以以當成webview外掛執行，Google Wallet可以獲取NFC裝置內的支付資訊。


Forristal指出，Fake ID漏洞可讓惡意程式借取得信賴應用的簽名，繞過Android內的安全驗證機制執行，因此只要安裝一個仿冒的應用程式，就可能遭受到駭客的惡意行為，像是利用Adobe Flash webview外掛執行許可權注入木馬程式、取得使用者財務資訊，或是獲取整臺Android裝置的控制許可權。


Google指出，公司已掃描過所有送交Google Play的應用及Google檢查過非Google Play上架的應用，但沒有證據顯示有針對該漏洞的攻擊行為。