7月5日消息，據(jù)國外媒體報道，安全公司Bluebox稱，幾乎所有的安卓手機都存在一個漏洞，這個漏洞可以允許黑客控制手機撥出電話，發(fā)送信息或者建立移動僵尸網(wǎng)絡(luò)。

該公司首席技術(shù)官福萊斯特稱，這個漏洞從安卓1.6（Donut）開始就一直存在，并且在過去四年內(nèi)發(fā)布的安卓設(shè)備，也就是99%的安卓設(shè)備都受到影響。

這個風(fēng)險可能比福萊斯特所宣稱的小一些，因為黑客必須使他們的惡意軟件先通過谷歌在“谷歌游戲商店”所設(shè)下的防御，而且現(xiàn)在并沒有證據(jù)表明有人正在利用安卓的這個漏洞。

福萊斯特稱，這個漏洞利用了安卓應(yīng)用程序的加密驗證方法的“差異”。

安卓系統(tǒng)的開發(fā)者規(guī)定被安裝的應(yīng)用程序必須有簽名證書，而這個證書的密鑰掌握在程序開發(fā)者手中。安卓系統(tǒng)使用這種簽名來判斷應(yīng)用程序代碼或者APK文件是否被干擾——任何沒有簽名證書的應(yīng)用程序都不會在用戶設(shè)備上被安裝或運行。

這個簽名系統(tǒng)也意味著，任何被應(yīng)用程序儲存的敏感信息都只存在于擁有簽名密鑰的版本中。但安卓系統(tǒng)的漏洞意味著，一個黑客能夠在不破解簽名的情況下改變該應(yīng)用程序的代碼，這時安卓系統(tǒng)就會誤把這個應(yīng)用程序當(dāng)成是合法的。

福萊特斯稱，“根據(jù)應(yīng)用程序種類的不同，黑客可以利用這個漏洞偷竊數(shù)據(jù)，也可以建立一個移動僵尸網(wǎng)絡(luò)。”