安全公司Bluebox Security的研究人员在Android安全模型(Security Model)中发现， 其允许攻击者能将99%的应用程式转变成木马程式的安全漏洞。 根据Bluebox Security技术长Jeff Forristal， 其在自家公司官网上贴文阐述该安全漏洞是如何运作的， 以及该应用程式可能被修改用来进行窃取资料， 抑或连线至殭屍网路的可能勾当， 同时从应用商店、手机到终端使用者完全视而不见。 「该安全漏洞，打从Android 1.6释出以来就一直存在，凡近4年来的任何Android手机，将近9亿支装置，都有可能受到影响。」 隐藏在该安全漏洞背後的核心问题， 莫过於Android应用程式是如何被验证与安装。 每个应用程式皆有自己加密签章， 以确保应用程式的内容不会遭到篡改。 尽管如此，该安全漏洞不但能允许攻击者变更应用程式的内容， 甚至留下了合法完整的签章。 再再显示出该安全漏洞有可能是简单的密码杂凑碰撞攻击(cryptographic hash collision attack)， 且多半归因於杂凑演算法中不良的选择所致； 不论如何，Forristal的贴文并没有再做更进一步的披露。 「该安全漏洞能对应用程式进行变更， 但却不会对应用程式的密码签章造成任何影响， 尤其是骇客可以瞒天过海地让Android相信， 明明已经变更的应用程式完全没有改变。」 目前该公司尚未释出任何概念验证码， 但其宣称该漏洞会对HTC Android手机上的系统软体资讯进行修改， 并且将相关撷图上传到其官方部落格上。 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 123.193.202.204