安卓用戶，你們攤上大事了！專家預(yù)測，下周或?qū)⒊醅F(xiàn)漏洞攻擊，國內(nèi)99.9%用戶暫“不設(shè)防”

該安全漏洞從Android 1.6以來就一直存在，凡近4年來的任何一款A(yù)ndroid手機，都無法幸免。

國內(nèi)技術(shù)專家還指出，谷歌軟件更新走的是明文通信，一旦黑客通過流量劫持了某個應(yīng)用，比如Gmail，就可以截獲密碼和賬號，并推給用戶一個木馬更新包，如果這樣，用戶幾乎鐵定會中招。

7月8日下午，美國某黑客組織透露出該漏洞的一個關(guān)鍵技術(shù)細(xì)節(jié)，根據(jù)以往經(jīng)驗，攻擊者可能在一兩周內(nèi)發(fā)起攻擊。

7月3日，美國安全公司Bluebox Security發(fā)布公開聲明稱，發(fā)現(xiàn)Android系統(tǒng)重大安全漏洞，允許攻擊者能將99%的應(yīng)用程式轉(zhuǎn)變成木馬程序。數(shù)據(jù)顯示，目前全球共有9億多安卓用戶，中國用戶數(shù)超1億，根據(jù)《IT時報》記者調(diào)查，幾乎所有上述用戶都對潛在的黑客攻擊完全沒有防范，也就是說一大半中國智能手機用戶門戶大開。

美安全公司披露可怕事實

Bluebox公司表示，黑客可在不改變應(yīng)用密鑰簽名的情況下篡改 APK(安裝包)代碼，這意味著任何看似合法安全的應(yīng)用均有可能內(nèi)嵌有惡意代碼。

根據(jù)Bluebox公司首席技術(shù)官Jeff Forristal的說法，通過漏洞，木馬可以讀取設(shè)備(Android)上任意手機應(yīng)用的數(shù)據(jù)(電子郵件、短信、文檔等)，獲取保存在手機上的所有賬號和密碼，接管并控制手機的正常功能。

Jeff Forristal透露，今年2月已將這個漏洞交給谷歌公司，他將會在7月底召開的美國黑帽黑客大會上披露更多該漏洞技術(shù)細(xì)節(jié)。

情況到底有多糟？

“我們已經(jīng)知道是怎么回事了，還在做最后的演示案例，驗證后才能發(fā)布準(zhǔn)確的信息。”安天實驗室高級研究員肖梓航是國內(nèi)第一時間研究該漏洞的技術(shù)專家之一，他向《IT時報》記者表示，國內(nèi)技術(shù)界已基本掌握情況。

肖梓航進一步表示：“安卓所有軟件層面的安全機制都是基于簽名來做的，現(xiàn)在開發(fā)者身份可以完全被冒充，這等于從技術(shù)上把原有的安全機制都打破了。”

肖梓航向記者舉了一個例子，例如某用戶裝了一個新浪微博，原來只有新浪官方才能發(fā)布有效更新安裝包，而現(xiàn)在不法分子也可能利用漏洞，冒充新浪，讓該用戶安裝帶有木馬的“假新浪微博更新包”。“以前這樣是行不通的，原版軟件會報錯，但現(xiàn)在利用該漏洞就可以做到，而且手機用戶完全覺察不到。”

“影響是非常大的。”肖梓航感嘆，“用戶手機里有大量賬號服務(wù)密碼，包括買手機時預(yù)裝的服務(wù)，現(xiàn)在這些都可以被篡改，攻擊者可以把你的賬號和密碼劫持下來，發(fā)回去，一切都是神不知鬼不覺。”

S4是唯一安全的安卓手機？

截至記者發(fā)稿，谷歌公司一直沒有對此事表態(tài)和正面回應(yīng)。根據(jù)Bluebox公司的聲明，谷歌公司應(yīng)該在今年2月已經(jīng)收到該漏洞報告，難道谷歌5個月來一直無動于衷？

在新浪微博上，幾乎所有針對此次Android漏洞門的微博中，網(wǎng)友都注意到一個細(xì)節(jié)并對此大肆調(diào)侃。由于Bluebox稱，除了三星Galaxy S4之外的所有Android手機都有此漏洞，唯獨S4已打上補丁，所以不少網(wǎng)友在微博評論和轉(zhuǎn)發(fā)中調(diào)侃道，這是三星的“廣告帖”、“Bluebox無節(jié)操”。

實則不然，根據(jù)一位OHA(由谷歌發(fā)起的開放手機聯(lián)盟)國內(nèi)廠商技術(shù)人士告訴記者，其實早在今年4月，谷歌就針對該漏洞向所有OHA聯(lián)盟廠商發(fā)布了補丁，“我得知此事后，翻閱了歷史記錄，發(fā)現(xiàn)了谷歌確實在4月份發(fā)出過這則補丁。不過并沒有引起我們的注意。”

上述技術(shù)人士告訴記者，之所以三星S4已經(jīng)打上補丁，因為這是一款最新上市的手機，三星第一時間更新了軟件，國內(nèi)廠商的反應(yīng)還沒這么快。

最新安卓手機相對安全

如果從Bluebox公司7月3日發(fā)布報告算起，下周可能就將有黑手觸及該漏洞。這意味著，將有Android手機用戶中招，國內(nèi)用戶的感染風(fēng)險很大。

7月8日晚，全球最大的Android第三方編譯團隊CyanogenMod公布了針對該漏洞的補丁，這標(biāo)志著，全球黑客已經(jīng)基本掌握Bluebox公布的漏洞細(xì)節(jié)。

事實上，Jeff Forristal最擔(dān)心的就是亞洲和中國，他表示，因為該地區(qū)有 500 多個獨立的 Android 應(yīng)用商店，這些應(yīng)用商店很少或沒有對應(yīng)用上架進行鑒權(quán)驗證的過程，這就使得木馬程序可能在這些網(wǎng)站上大面積上架。

移動技術(shù)專家Weir Zhang表示，可以預(yù)見，未來數(shù)月內(nèi)OHA聯(lián)盟廠商如摩托羅拉、HTC、LG、索尼等發(fā)布的新機或?qū)⒓由显撗a丁，而且谷歌應(yīng)該也會在Google Play應(yīng)用市場進行技術(shù)過濾，包含木馬的Android將無法上架。

另外，Weir Zhang透露，谷歌目前已將該漏洞補丁設(shè)為CTS(谷歌)兼容性測試終端認(rèn)證的必過項，這證明新上市的大品牌安卓手機將是安全的，不過國內(nèi)不少終端廠商并未參與谷歌的CTS認(rèn)證。“所以，中國消費者在購買山寨機和白牌機時需要特別小心，如果買到預(yù)裝木馬程序的手機，將造成很大損失。”

時報觀察

一個難以補上的漏洞

現(xiàn)在，擺在中國和全球Android用戶面前的難題是，發(fā)現(xiàn)漏洞了，該如何修補？就像發(fā)現(xiàn)了一個病毒，而且研制出了疫苗，但如何讓全球數(shù)億安卓用戶主動接種“疫苗”，將是個大問題。

哪些人是安全的？

除了三星Galaxy S4手機用戶之外，谷歌OHA廠商今后推出的新機都將是安全的，目前中國國內(nèi)加入OHA聯(lián)盟的廠商有華為、中興、TCL、OPPO、聯(lián)想和海爾。同時，中國電信、移動和聯(lián)通也加入了該聯(lián)盟，這意味著未來三大運營商推出的定制安卓手機終端可能也將升級。

哪些人不安全？

除此之外，幾乎所有安卓手機和平板電腦用戶目前的系統(tǒng)都是不安全的，存在Bluebox公布的漏洞，值得慶幸的是，目前全球范圍內(nèi)，還未發(fā)現(xiàn)黑客借助此漏洞攻擊用戶的案例。

但需要提醒的是，隨著時間推移，技術(shù)細(xì)節(jié)會被逐漸披露，黑色產(chǎn)業(yè)鏈也將知曉，而且該漏洞很容易被利用，迷惑性和危害性都很大。

安卓用戶如何防范？

Android系統(tǒng)與微軟Windows不同，Windows可以在一個統(tǒng)一平臺上自動聯(lián)網(wǎng)更新，但Android不行，用戶不能自動更新，必須等待硬件和手機廠商出臺補丁，然后再由用戶主動來打，這是在所有用戶中推廣補丁的最大難題。

目前三星、摩托羅拉、LG、華為等主流安卓手機制造商，都沒有在各自官方網(wǎng)站發(fā)布漏洞補丁程序，供用戶下載。因為在此之前，手機廠商沒有發(fā)布類似軟件升級補丁的慣例，同時，用戶更沒有登錄這些網(wǎng)站升級手機系統(tǒng)的習(xí)慣。這次的漏洞對于手機廠商和用戶來說都是頭一次遭遇。

當(dāng)然，現(xiàn)有安卓手機用戶可以不為自己的手機打補丁，但必須做到一點，就是今后所有的Android應(yīng)用都去Google Play官方市場下載，以保證安全。

潛在的風(fēng)險在哪里？

目前來看，中國安卓用戶對該漏洞尚不知曉，更談不上防范，即便就算谷歌公布了補丁的下載地址，也難說會有多少用戶主動下載升級。中國手機用戶的安全意識還不健全。

在五花八門的第三方Android應(yīng)用下載市場，在手機論壇的下載頻道，在山寨機的預(yù)裝程序中，在各種自主開發(fā)手機ROM中，木馬程序都可能滲入其中，為安卓手機用戶埋下“地雷”。