安卓用戶，你們攤上大事了！專家預(yù)測(cè)，下周或?qū)⒊醅F(xiàn)漏洞攻擊，國內(nèi)99.9%用戶暫“不設(shè)防”

該安全漏洞從Android 1.6以來就一直存在，凡近4年來的任何一款A(yù)ndroid手機(jī)，都無法幸免。

國內(nèi)技術(shù)專家還指出，谷歌軟件更新走的是明文通信，一旦黑客通過流量劫持了某個(gè)應(yīng)用，比如Gmail，就可以截獲密碼和賬號(hào)，并推給用戶一個(gè)木馬更新包，如果這樣，用戶幾乎鐵定會(huì)中招。

7月8日下午，美國某黑客組織透露出該漏洞的一個(gè)關(guān)鍵技術(shù)細(xì)節(jié)，根據(jù)以往經(jīng)驗(yàn)，攻擊者可能在一兩周內(nèi)發(fā)起攻擊。

7月3日，美國安全公司Bluebox Security發(fā)布公開聲明稱，發(fā)現(xiàn)Android系統(tǒng)重大安全漏洞，允許攻擊者能將99%的應(yīng)用程式轉(zhuǎn)變成木馬程序。數(shù)據(jù)顯示，目前全球共有9億多安卓用戶，中國用戶數(shù)超1億，根據(jù)《IT時(shí)報(bào)》記者調(diào)查，幾乎所有上述用戶都對(duì)潛在的黑客攻擊完全沒有防范，也就是說一大半中國智能手機(jī)用戶門戶大開。

美安全公司披露可怕事實(shí)

Bluebox公司表示，黑客可在不改變應(yīng)用密鑰簽名的情況下篡改 APK(安裝包)代碼，這意味著任何看似合法安全的應(yīng)用均有可能內(nèi)嵌有惡意代碼。

根據(jù)Bluebox公司首席技術(shù)官Jeff Forristal的說法，通過漏洞，木馬可以讀取設(shè)備(Android)上任意手機(jī)應(yīng)用的數(shù)據(jù)(電子郵件、短信、文檔等)，獲取保存在手機(jī)上的所有賬號(hào)和密碼，接管并控制手機(jī)的正常功能。

Jeff Forristal透露，今年2月已將這個(gè)漏洞交給谷歌公司，他將會(huì)在7月底召開的美國黑帽黑客大會(huì)上披露更多該漏洞技術(shù)細(xì)節(jié)。

情況到底有多糟？

“我們已經(jīng)知道是怎么回事了，還在做最后的演示案例，驗(yàn)證后才能發(fā)布準(zhǔn)確的信息。”安天實(shí)驗(yàn)室高級(jí)研究員肖梓航是國內(nèi)第一時(shí)間研究該漏洞的技術(shù)專家之一，他向《IT時(shí)報(bào)》記者表示，國內(nèi)技術(shù)界已基本掌握情況。

肖梓航進(jìn)一步表示：“安卓所有軟件層面的安全機(jī)制都是基于簽名來做的，現(xiàn)在開發(fā)者身份可以完全被冒充，這等于從技術(shù)上把原有的安全機(jī)制都打破了。”

肖梓航向記者舉了一個(gè)例子，例如某用戶裝了一個(gè)新浪微博，原來只有新浪官方才能發(fā)布有效更新安裝包，而現(xiàn)在不法分子也可能利用漏洞，冒充新浪，讓該用戶安裝帶有木馬的“假新浪微博更新包”。“以前這樣是行不通的，原版軟件會(huì)報(bào)錯(cuò)，但現(xiàn)在利用該漏洞就可以做到，而且手機(jī)用戶完全覺察不到。”

“影響是非常大的。”肖梓航感嘆，“用戶手機(jī)里有大量賬號(hào)服務(wù)密碼，包括買手機(jī)時(shí)預(yù)裝的服務(wù)，現(xiàn)在這些都可以被篡改，攻擊者可以把你的賬號(hào)和密碼劫持下來，發(fā)回去，一切都是神不知鬼不覺。”

S4是唯一安全的安卓手機(jī)？

截至記者發(fā)稿，谷歌公司一直沒有對(duì)此事表態(tài)和正面回應(yīng)。根據(jù)Bluebox公司的聲明，谷歌公司應(yīng)該在今年2月已經(jīng)收到該漏洞報(bào)告，難道谷歌5個(gè)月來一直無動(dòng)于衷？

在新浪微博上，幾乎所有針對(duì)此次Android漏洞門的微博中，網(wǎng)友都注意到一個(gè)細(xì)節(jié)并對(duì)此大肆調(diào)侃。由于Bluebox稱，除了三星Galaxy S4之外的所有Android手機(jī)都有此漏洞，唯獨(dú)S4已打上補(bǔ)丁，所以不少網(wǎng)友在微博評(píng)論和轉(zhuǎn)發(fā)中調(diào)侃道，這是三星的“廣告帖”、“Bluebox無節(jié)操”。

實(shí)則不然，根據(jù)一位OHA(由谷歌發(fā)起的開放手機(jī)聯(lián)盟)國內(nèi)廠商技術(shù)人士告訴記者，其實(shí)早在今年4月，谷歌就針對(duì)該漏洞向所有OHA聯(lián)盟廠商發(fā)布了補(bǔ)丁，“我得知此事后，翻閱了歷史記錄，發(fā)現(xiàn)了谷歌確實(shí)在4月份發(fā)出過這則補(bǔ)丁。不過并沒有引起我們的注意。”

上述技術(shù)人士告訴記者，之所以三星S4已經(jīng)打上補(bǔ)丁，因?yàn)檫@是一款最新上市的手機(jī)，三星第一時(shí)間更新了軟件，國內(nèi)廠商的反應(yīng)還沒這么快。

最新安卓手機(jī)相對(duì)安全

如果從Bluebox公司7月3日發(fā)布報(bào)告算起，下周可能就將有黑手觸及該漏洞。這意味著，將有Android手機(jī)用戶中招，國內(nèi)用戶的感染風(fēng)險(xiǎn)很大。

7月8日晚，全球最大的Android第三方編譯團(tuán)隊(duì)CyanogenMod公布了針對(duì)該漏洞的補(bǔ)丁，這標(biāo)志著，全球黑客已經(jīng)基本掌握Bluebox公布的漏洞細(xì)節(jié)。

事實(shí)上，Jeff Forristal最擔(dān)心的就是亞洲和中國，他表示，因?yàn)樵摰貐^(qū)有 500 多個(gè)獨(dú)立的 Android 應(yīng)用商店，這些應(yīng)用商店很少或沒有對(duì)應(yīng)用上架進(jìn)行鑒權(quán)驗(yàn)證的過程，這就使得木馬程序可能在這些網(wǎng)站上大面積上架。

移動(dòng)技術(shù)專家Weir Zhang表示，可以預(yù)見，未來數(shù)月內(nèi)OHA聯(lián)盟廠商如摩托羅拉、HTC、LG、索尼等發(fā)布的新機(jī)或?qū)⒓由显撗a(bǔ)丁，而且谷歌應(yīng)該也會(huì)在Google Play應(yīng)用市場(chǎng)進(jìn)行技術(shù)過濾，包含木馬的Android將無法上架。

另外，Weir Zhang透露，谷歌目前已將該漏洞補(bǔ)丁設(shè)為CTS(谷歌)兼容性測(cè)試終端認(rèn)證的必過項(xiàng)，這證明新上市的大品牌安卓手機(jī)將是安全的，不過國內(nèi)不少終端廠商并未參與谷歌的CTS認(rèn)證。“所以，中國消費(fèi)者在購買山寨機(jī)和白牌機(jī)時(shí)需要特別小心，如果買到預(yù)裝木馬程序的手機(jī)，將造成很大損失。”

時(shí)報(bào)觀察

一個(gè)難以補(bǔ)上的漏洞

現(xiàn)在，擺在中國和全球Android用戶面前的難題是，發(fā)現(xiàn)漏洞了，該如何修補(bǔ)？就像發(fā)現(xiàn)了一個(gè)病毒，而且研制出了疫苗，但如何讓全球數(shù)億安卓用戶主動(dòng)接種“疫苗”，將是個(gè)大問題。

哪些人是安全的？

除了三星Galaxy S4手機(jī)用戶之外，谷歌OHA廠商今后推出的新機(jī)都將是安全的，目前中國國內(nèi)加入OHA聯(lián)盟的廠商有華為、中興、TCL、OPPO、聯(lián)想和海爾。同時(shí)，中國電信、移動(dòng)和聯(lián)通也加入了該聯(lián)盟，這意味著未來三大運(yùn)營(yíng)商推出的定制安卓手機(jī)終端可能也將升級(jí)。

哪些人不安全？

除此之外，幾乎所有安卓手機(jī)和平板電腦用戶目前的系統(tǒng)都是不安全的，存在Bluebox公布的漏洞，值得慶幸的是，目前全球范圍內(nèi)，還未發(fā)現(xiàn)黑客借助此漏洞攻擊用戶的案例。

但需要提醒的是，隨著時(shí)間推移，技術(shù)細(xì)節(jié)會(huì)被逐漸披露，黑色產(chǎn)業(yè)鏈也將知曉，而且該漏洞很容易被利用，迷惑性和危害性都很大。

安卓用戶如何防范？

Android系統(tǒng)與微軟Windows不同，Windows可以在一個(gè)統(tǒng)一平臺(tái)上自動(dòng)聯(lián)網(wǎng)更新，但Android不行，用戶不能自動(dòng)更新，必須等待硬件和手機(jī)廠商出臺(tái)補(bǔ)丁，然后再由用戶主動(dòng)來打，這是在所有用戶中推廣補(bǔ)丁的最大難題。

目前三星、摩托羅拉、LG、華為等主流安卓手機(jī)制造商，都沒有在各自官方網(wǎng)站發(fā)布漏洞補(bǔ)丁程序，供用戶下載。因?yàn)樵诖酥埃謾C(jī)廠商沒有發(fā)布類似軟件升級(jí)補(bǔ)丁的慣例，同時(shí)，用戶更沒有登錄這些網(wǎng)站升級(jí)手機(jī)系統(tǒng)的習(xí)慣。這次的漏洞對(duì)于手機(jī)廠商和用戶來說都是頭一次遭遇。

當(dāng)然，現(xiàn)有安卓手機(jī)用戶可以不為自己的手機(jī)打補(bǔ)丁，但必須做到一點(diǎn)，就是今后所有的Android應(yīng)用都去Google Play官方市場(chǎng)下載，以保證安全。

潛在的風(fēng)險(xiǎn)在哪里？

目前來看，中國安卓用戶對(duì)該漏洞尚不知曉，更談不上防范，即便就算谷歌公布了補(bǔ)丁的下載地址，也難說會(huì)有多少用戶主動(dòng)下載升級(jí)。中國手機(jī)用戶的安全意識(shí)還不健全。

在五花八門的第三方Android應(yīng)用下載市場(chǎng)，在手機(jī)論壇的下載頻道，在山寨機(jī)的預(yù)裝程序中，在各種自主開發(fā)手機(jī)ROM中，木馬程序都可能滲入其中，為安卓手機(jī)用戶埋下“地雷”。