最新消息,在Google宣布修复Android系统数字签名漏洞的第二天,Android系统安全团队向360手机安全专家证实,他们曾在此前修复过另一个“系统签名漏洞”,其原理与第一个漏洞相同,可造成黑客在不破坏数字签名的情况下篡改APP。360手机安全专家表示,第二个漏洞影响包括三星S4在内的更多Android设备,同时修复补丁仍难在短期内普及。Android用户目前可使用360手机卫士识别和查杀利用这类漏洞的恶意程序,保护手机安全。
第一个签名漏洞被发现后,Google很快向第三方OEM厂商提供了修复补丁。但新麻烦接踵而至,国内手机安全小组“安卓手机安全小分队”宣布他们又发现了Android系统中另一个数字签名漏洞,并公布了漏洞细节。360手机安全专家分析该漏洞之后发现,这个漏洞虽然原理和第一个漏洞不同,但具有类似危害,可让黑客在不破坏数字签名的情况下篡改APP。
Android官方Andorid安全团队讨论后,证实新漏洞的确存在,并确认已在7月3日的Android系统源代码树中修补。
令人担忧的是,谷歌并没有及时向第三方OEM厂商推送这一补丁。而在这之前,包括已经修复了第一个签名漏洞的三星S4在内的更多安卓设备,超过99%的安卓设备都将面临严重的安全威胁。
360手机安全专家介绍,第二个签名漏洞对包含恶意代码部分有严格长度限制。而一般这样的正常应用较少,可以被篡改的就很少,因此该漏洞的危害没有第一个漏洞严重。但该漏洞仍然可以实现很多恶意行为,例如控制手机发送诈骗短信、在远程控制下收集手机隐私信息(包括通讯录、通话记录、账号密码等)。
攻击代码被公开后,利用漏洞的恶意程序或将很快出现。360手机安全专家表示,安卓用户下载应用时尽量选择官方网站,或由360手机安全中心提供安全检测的第三方应用商店下载,避免下载到利用这类漏洞的程序。同时,360手机卫士已实现识别和查杀,建议用户安装,实时保护手机安全。