近日，移動安全公司Bluebox宣布發(fā)現(xiàn)一個(gè)Android漏洞，通過這個(gè)漏洞黑客可以入侵最近四年來發(fā)布的所有Android設(shè)備，讀取用戶數(shù)據(jù)、密碼并控制所有手機(jī)功能，包括發(fā)送短信、打電話甚至打開攝像頭。

而根據(jù)Google五月份發(fā)布的官方統(tǒng)計(jì)，目前全球共有約9億臺Android設(shè)備，僅今年4月份一個(gè)月Android應(yīng)用的安裝量就高達(dá)25億次。Bluebox的首席技術(shù)官Jeff Forristal在博客中稱：

通過Android手機(jī)的漏洞，木馬軟件能夠強(qiáng)制讀取設(shè)備上的各種應(yīng)用數(shù)據(jù)(郵件、短信、文檔等)，獲取所有賬戶和服務(wù)密碼，并接管和控制手機(jī)的所有功能。

Bluebox發(fā)現(xiàn)Android應(yīng)用的審核和確認(rèn)流程中存在漏洞，黑客可以篡改應(yīng)用的代碼而無需更換應(yīng)用的加密簽名。這意味著任何一個(gè)Android應(yīng)用，無論是否通過官方應(yīng)用商店的審核上架，都有可能藏有惡意代碼。

Forristal表示該漏洞的細(xì)節(jié)早在今年2月份就已經(jīng)上報(bào)Google。但問題在于，Android存在高度碎片化的問題，不同的設(shè)備制造商和移動運(yùn)營商各自為政，在應(yīng)用更新上毫無規(guī)律可循，很多Android設(shè)備都沒有更新到最新的軟件版本，甚至用戶自己也無法更新。

Forristal表示Android的安全問題在亞洲和東方國家更為嚴(yán)重，這些地區(qū)存在超過500個(gè)獨(dú)立的第三方Android應(yīng)用市場，大部分都沒有足夠的認(rèn)證或確認(rèn)流程來確保上架應(yīng)用的合法性。

近年來Google忙于擴(kuò)張Android生態(tài)系統(tǒng)和市場份額，雖然包括賽門鐵克和趨勢科技在內(nèi)的多家網(wǎng)絡(luò)安全公司不止一次指出Android應(yīng)用的安全狀況急劇惡化，根據(jù)Juniper上月發(fā)布的報(bào)告，大量第三方應(yīng)用市場已經(jīng)成為病毒溫床，目前能夠竊取手機(jī)用戶隱私數(shù)據(jù)的Android木馬和惡意軟件的數(shù)量已經(jīng)超過25萬個(gè)(占所有平臺手機(jī)惡意軟件總數(shù)的92%)，同比增長614%!但是Google迄今都未作出任何有效回應(yīng)。

原文地址：http://www.ctocio.com/ccnews/12817.html