搜索
查看: 3844|回复: 26
收起左侧

安卓曝史上最严重签名漏洞 手机或瞬间沦为"肉鸡"---360可以检测查杀......

  [复制链接]
dongyishaonv
头像被屏蔽
发表于 2013-7-12 19:40:05 | 显示全部楼层 |阅读模式
本帖最后由 dongyishaonv 于 2013-7-12 20:02 编辑

#360微提示#【安卓曝史上最严重签名漏洞 手机或瞬间沦为"肉鸡"】安卓被曝出史上最严重签名漏洞,99%安卓设备面临巨大风险:黑客可在不破坏APP数字签名的情况下,篡改任意手机应用,并进而完全控制手机,使手机沦为"肉鸡".安卓用户可通过360手机卫士检测查杀利用该漏洞的恶意程序.....


@新华公安分局: #朝阳警方提示#【安卓手机曝高危签名漏洞】用户使用手机上网时应注意网络安全,安装安全进行防护,确保个人隐私安全。@正能量助理






http://finance.chinanews.com/it/2013/07-09/5019970.shtml

  中新网7月9日电 近期,Android(安卓)操作系统被曝存在一个系统级高危漏洞,99%的安卓设备面临巨大风险:黑客可在不破坏APP数字签名的情况下,篡改任何正常手机应用,并进而控制中招手机,实现偷账号、窃隐私、打电话或发短信等任意行为,从而使手机瞬间沦为“肉鸡”。
    360安全专家经深入分析,迅速找到并验证了该漏洞的确存在,且危害巨大,堪称“史上最严重”的安卓漏洞。截止发稿前,谷歌安卓公开源代码中仍未修正该漏洞。专家提醒,在谷歌官方补丁发布前,广大安卓用户可使用360手机卫士来识别和查杀利用该漏洞的恶意程序,从而获得临时的保护。
  据360安全专家介绍,由国外媒体率先曝光的这一签名漏洞,存在于大部分安卓系统的安装校验机制中,因而会影响当前99%的安卓手机。利用该漏洞,黑客可在不破坏数字签名的前提下,篡改包括系统应用在内的任何正常应用的APK安装包文件代码,并植入任意恶意代码。
  何谓数字签名?数字签名可以保证每个应用程序来源于合法的开发商,安卓系统的安全机制要求所安装的程序必须携带数字签名。凭此签名,系统就能判定一个程序的代码或者APK安装包文件是否被动过手脚。被篡改过的安装包因为无法产生与原始安装包相同的签名而无法实现对原应用的覆盖安装升级。这是整个安卓操作系统得以控制风险的一种至关重要的安全校验机制。
  而这种安全校验机制在此次曝出的安卓签名漏洞面前已完全失效。360手机安全专家研究并验证了该漏洞的攻击原理,发现黑客可在不破坏或更换已验证数字签名的情况下,向原版应用中任意添加恶意代码,甚至包括安卓本身的系统应用。这意味着,任何一个安卓应用,即使通过了某些应用商店的安全审核,仍有可能藏有恶意代码。黑客也可以通过在论坛、社区发布APP安装包,通过QQ、微信、微博等社交工具,一对一发送给目标人群,定向作案。
  利用这些被恶意篡改过的安装包,黑客可以完全控制中招手机,窃取通讯录、短信、通话记录、帐号密码等信息,还能完全控制手机发送短信、拨打电话甚至打开摄像头等,使中招手机彻底沦为一款超强间谍工具。例如,黑客可在不更换签名的情况下,将原版手机银行应用替换为植入了恶意代码的版本,从而轻松窃取他人的银行帐号和密码。黑客还能在不修改签名的情况下篡改微信等社交应用,盗号并肆意窃取用户隐私。而用户在安装或升级这类应用时,系统不会提示“签名不一致”,普通用户很难察觉到风险。
  据悉,谷歌今年2月就已收到了上述漏洞信息,但并未就此作出公开回应,也没有给出官方补丁的发布日程表。同时,由于大部分安卓手机使用的均为非原生安卓系统,涉及全球数以万计的安卓手机厂商。因此,该漏洞在短期内得到谷歌官方大面积修复的可能性较低。而据曝料黑客宣称,将在今年8月于拉斯维加斯举行的Black Hat国际黑帽大会上公布漏洞细节。北京时间7月9日凌晨,360手机安全专家发现,利用该漏洞的的攻击代码已开始在国外网站散播。为此,360安全中心已紧急向工信部、国家互联网应急中心(CNCERT)等相关政府部门汇报了该漏洞的相关技术细节和危害。
  360手机安全专家建议,在谷歌和手机厂商提供官方升级补丁修复此漏洞之前,用户应定期更新360手机卫士病毒库,及时查杀利用该漏洞的恶意软件。用户应从官方网站、360手机助手等正规、安全的渠道下载手机应用,以免下载到被恶意篡改的带毒程序。
dongyishaonv
头像被屏蔽
 楼主| 发表于 2013-7-12 19:47:38 | 显示全部楼层

RE: 安卓曝史上最严重签名漏洞 手机或瞬间沦为

clzacl 发表于 2013-7-12 19:45
这文章真是.....

有问题,找民警。
22667999
发表于 2013-7-12 19:49:54 | 显示全部楼层
不错~
wangpengsdf
发表于 2013-7-12 19:52:18 | 显示全部楼层
这个漏洞是在安全模式下的漏洞,哪个用户闲着蛋疼玩安全模式啊,感觉就像核弹一样,威力巨大但是基本打不出去
a110
发表于 2013-7-12 19:54:37 | 显示全部楼层
后面这破折号。
末世挽歌
发表于 2013-7-12 19:58:10 | 显示全部楼层
不明真相,只能说不管结果怎么样,360又出名了。
houzhiqiang
发表于 2013-7-12 20:08:58 | 显示全部楼层
这是我在我的手机下的安全模式的截图!开机时按菜单键进去的!
screenshot-1372960402627.png

QQ截图20130712200750.png

ywsuda
发表于 2013-7-12 20:22:09 | 显示全部楼层
威武的破折号?性质变了
ubuntu2011
发表于 2013-7-12 21:00:43 | 显示全部楼层
中新网
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-11-15 17:40 , Processed in 0.104830 second(s), 21 queries .

快速回复 返回顶部 返回列表