视频: Диакритические знаки во французском. Accent aigu, accent grave, accent circonflexe. Видеоурок 1. (可能 2024)
Android操作系统中的漏洞使攻击者可以利用一个现有应用程序,注入恶意代码,然后以一种可以装作原始应用程序的方式对其进行重新打包。 你应该担心吗?
Bluebox Security的研究人员7月3日在公司博客上写道,Bluebox Security的首席技术官Jeff Forristal在验证应用程序密码签名的方式中发现了缺陷。Forristal说,这意味着攻击者可以修改应用程序而无需更改其密码签名。
Forristal声称,该漏洞自Android 1.6(“甜甜圈”)以来就存在,并使“ 99%”的设备(“过去四年中发布的任何Android手机”)容易受到攻击。
可怕的情况是这样的:修改合法的应用程序(例如Google应用程序)以窃取密码或将设备连接到僵尸网络,然后释放该文件供用户下载。 由于两个应用程序具有相同的数字签名,因此用户将很难知道哪个是真实的,哪个是假的。
好吧,不是真的。
我有危险吗?
Google更新了Google Play,以便进行检查以阻止使用此漏洞伪装成其他某些应用程序的所有恶意应用程序。
如果您通过Google Play安装应用和更新,则不会受到此漏洞的威胁,因为Google已采取措施保护了应用市场。 如果您确实从第三方市场下载应用程序,甚至从三星和亚马逊应用程序商店等半官方市场下载应用程序,那么您将面临风险。 就目前而言,可能值得推迟使用那些市场。
Google建议用户远离第三方Android应用市场。
我还可以做些什么?
同样重要的是要记住,您应该始终查看开发人员是谁。 即使经过木马化的应用程序确实是通过Google Play实现的,或者您在其他应用程序商店中,该应用程序也不会列在原始开发者的下面。 例如,如果攻击者使用此漏洞重新打包了愤怒的小鸟,则新版本将不会在Rovio的帐户下列出。
如果要确保不能从第三方来源安装应用程序,请进入“设置”>“安全性”,并确保未选中“从未知来源安装应用程序”复选框。
如果您使用的是最新版本的Android,则内置的应用程序扫描系统还会保护您,因为它会扫描来自Google Play以外来源的应用程序。 这意味着即使您错误地安装了错误的应用程序,您的手机仍可能阻止恶意代码。
此外,还有适用于Android的安全应用程序,可以检测到恶意行为并提醒您有关有问题的应用程序。 PCMag推荐我们的编辑选择Bitdefender移动安全性。
可能会发动攻击吗?
Webroot的安全情报总监Grayson Milbourne对 安全 观察说:“仅仅是因为尚未使用'主密钥',这并不意味着我们可以为自己的成就感到满足。” 米尔伯恩说,移动安全应该从各个方面保护设备-身份保护以保护密码和其他个人信息,阻止恶意软件和恶意应用程序,并能够在设备丢失或被盗时找到该设备。
Bluebox早在2月份就向Google报告了该漏洞,Google已经向Open Handset Alliance中的硬件合作伙伴发布了补丁。 一些手机制造商已经发布了补丁来解决该问题。 运营商现在必须将修复程序推给最终用户。
Forristal说:“由设备制造商决定是否生产和发布用于移动设备的固件更新(以及供用户安装这些更新)。” Bluebox计划在本月底在拉斯维加斯举行的Black Hat会议上透露更多细节。
移动安全公司viaForensics的工程师Pau Oliva Fora在7月8日的github上发布了利用该漏洞的概念证明。Fora在阅读了Cyanogenmod团队发布的bug的详细信息后创建了shell脚本。 Cyanogenmod是Android的流行版本,用户可以将其安装到其设备上。 团队已经修复了该缺陷。
如果您是少数从运营商处收到Android更新的用户,请确保立即下载并安装。 即使风险很小,更新操作系统也只是出于安全考虑。
