移動(dòng)安全公司Bluebox近期在其研究報(bào)告中指出，谷歌安卓移動(dòng)操作系統(tǒng)存在新的安全漏洞，黑客可利用該漏洞“偽裝”成安全應(yīng)用軟件，從而入侵用戶的智能手機(jī)和平板電腦。

    Bluebox在報(bào)告中指出，最根本的問(wèn)題出在了安卓系統(tǒng)對(duì)應(yīng)用軟件“ID”的審查方式上，或者谷歌根本就不去審查應(yīng)用軟件的身份。Bluebox將此漏洞描述為 “虛假ID”。
    總部位于舊金山的Bluebox公司首席技術(shù)官杰夫·佛利斯塔爾(JeffForristal)表示，該公司主要是幫助公司保護(hù)移動(dòng)設(shè)備上的數(shù)據(jù)，該公司員工也在調(diào)查和理解Bluebox所基于的移動(dòng)操作系統(tǒng)構(gòu)架。
    驗(yàn)證“ID”是互聯(lián)網(wǎng)世界最重要的問(wèn)題之一。就像有了銀行賬號(hào)和密碼就可以登陸該銀行賬戶一樣，每個(gè)應(yīng)用軟件也有自己的數(shù)字簽名——“ID卡”。比如，Adobe在安卓平臺(tái)上有一個(gè)特定的數(shù)字簽名，Adobe所發(fā)布的所有應(yīng)用軟件都是在這個(gè)數(shù)字簽名基礎(chǔ)上分配“ID”。Bluebox發(fā)現(xiàn)，當(dāng)某款應(yīng)用上攜帶了Adobe“ID”，安卓系統(tǒng)并不會(huì)核實(shí)這個(gè)ID的真實(shí)性。這也就意味著，黑客可利用此漏洞偽造出Adobe的數(shù)字簽名，并編寫惡意代碼植入軟件中，從而對(duì)用戶設(shè)備展開(kāi)“入侵”。 這種漏洞并非只針對(duì)Adobe：黑客可以開(kāi)發(fā)攜帶惡意病毒的應(yīng)用軟件，“冒充”谷歌錢包，然后獲取用戶支付和財(cái)務(wù)數(shù)據(jù)。同樣的問(wèn)題也存在于設(shè)備上的管理軟件中，黑客可控制整個(gè)系統(tǒng)。
    佛利斯塔爾表示：“我們已發(fā)現(xiàn)了一種創(chuàng)建虛假ID的方法， 但是目前還不清楚，黑客到底創(chuàng)建的是哪一種虛假ID卡?！?br />     Bluebox表示，這一漏洞將會(huì)影響到安卓2.1及以上系統(tǒng)。不過(guò)，谷歌4.4系統(tǒng)已經(jīng)修復(fù)了這一漏洞。根據(jù)市場(chǎng)研究機(jī)構(gòu)Gartner提供的數(shù)據(jù)，從2012年至2013年，配安卓操作系統(tǒng)的新設(shè)備出貨量達(dá)到了14億部左右。Gartner預(yù)期今年將有11.7億部安卓設(shè)備出貨量。
    谷歌發(fā)言人克里斯多夫·卡特薩洛斯(Christopher Katsaros)表示：“我們非常感謝Bluebox能夠很負(fù)責(zé)地將這一漏洞通知我們，第三方研究是提高安卓系統(tǒng)安全性、保護(hù)用戶隱私的有效途徑之一?！?br />     想要解決安卓系統(tǒng)中所存在漏洞，主要還是看安全研究人員和谷歌處理軟件或者程序里所發(fā)現(xiàn)漏洞的方法。同時(shí)，這也表明了處理安卓系統(tǒng)漏洞的“復(fù)雜性”，因?yàn)樾迯?fù)漏洞不光需要來(lái)自谷歌的努力，還要涉及不同軟件開(kāi)發(fā)者和硬件設(shè)備制造商。
    佛利斯塔爾表示，他們已經(jīng)在今年三月下旬時(shí)完成了這項(xiàng)研究，并在3月31日將此漏洞提交給了谷歌。安卓安全小組在4月開(kāi)發(fā)出了補(bǔ)丁，并將其提供給供應(yīng)商，后者在Bluebox將此漏洞公布于眾前，有90天的時(shí)間來(lái)向用戶推送補(bǔ)丁。Bluebox已經(jīng)測(cè)試了40款安卓設(shè)備。該公司表示：“我們僅知道，只有一家設(shè)備供應(yīng)商向用戶提供了修復(fù)補(bǔ)丁?！?br />     卡特薩洛斯表示，Google Play和Verify Apps已經(jīng)采取措施來(lái)保護(hù)用戶，使其免受虛假ID漏洞的影響。他表示：“現(xiàn)在，我們已對(duì)所有提交給Google Play的應(yīng)用軟件，以及來(lái)自Google Play之外，但受谷歌評(píng)估的應(yīng)用軟件進(jìn)行掃描，我們并沒(méi)有發(fā)現(xiàn)任何試圖借此漏洞入侵用戶設(shè)備的應(yīng)用”。
    跟谷歌所采取的措施不同，在今年年初，蘋果發(fā)布了一份有關(guān)iOS安全的白皮書，上面寫道：“我們?cè)谠O(shè)計(jì)iOS時(shí)就已經(jīng)開(kāi)發(fā)出了一種新型安全措施，我們所開(kāi)發(fā)的創(chuàng)新功能同時(shí)兼顧了安全和生態(tài)系統(tǒng)體驗(yàn)。”相比較谷歌，蘋果設(shè)備在企業(yè)和政府領(lǐng)域的滲透速度要快很多。7月初，蘋果和IBM宣布結(jié)盟，雙方將合作來(lái)將蘋果產(chǎn)品推向企業(yè)市場(chǎng)。
    Bluebox計(jì)劃在下周美國(guó)拉斯維加斯召開(kāi)的“黑帽”安全技術(shù)大會(huì)上討論他們的“發(fā)現(xiàn)”。