稍早資訊安全研究人員披露了一個新的 Android 手機漏洞,該漏洞可能讓已安裝的 App 程式在使用者不知情的狀況下遭到竄改。幾乎所有的 Android 裝置都受到影響,因為此漏洞從 Android 1.6 (甜甜圈) 版本即已存在,目前僅有 Samsung Galaxy S4 修正了這項問題。
此漏洞 (有人稱之為「Master Key」金鑰漏洞) 吸引了大批媒體關注,但並非所有的媒體報導都正確。趨勢科技已經更新了「趨勢科技行動安全防護for Android中文版」來保護我們的使用者,但我們還是要特別在此澄清一下這到底是怎麼回事,這是什麼樣的威脅,以及使用者該做些什麼。
什麼是「Master Key」金鑰漏洞?
此漏洞與 Android App 程式的簽署方式有關。所有的 Android App 程式都內含一個開發廠商提供的數位簽章,用來證明該程式「的確」 來自於該廠商,並且在傳送的過程當中從未被竄改。當 App 有新的版本時,除非新的版本也有來自於同一開發廠商的數位簽章,否則就無法更新。
此漏洞正是和這最後一個步驟有關。研究人員發現,歹徒即使「沒有」原始開發廠商的簽署金鑰,也能更新系統已安裝的 App 程式。簡而言之,任何已安裝的程式都可能被更新成惡意版本。
請注意,就技術而言,並沒有所謂的金鑰遭到外洩。當然,任何 App 程式都可能被竄改並用於惡意用途,但這當中並不是因為「金鑰」外洩。
有何風險?
此漏洞可讓歹徒將 Android 裝置上原本正常的 App 程式換成惡意程式。一些擁有許多裝置權限的 App 程式,如手機製造商或電信業者提供的 App 程式,尤其容易成為目標。
這類程式一旦進入裝置,它們的行為就像任何惡意 App 程式一樣,只不過使用者會以為它們是完全正常的程式。例如,一個遭到竄改/木馬化的網路銀行 App 程式,還是能夠像往常一樣運作,但使用者輸入的帳號密碼可能就會被歹徒所竊取。
使用者如何保護自己?
趨勢科技已經更新了「行動裝置應用程式信譽評等」資料庫來偵測專門攻擊這項漏洞的 App 程式,但目前尚未發現任何這類程式。儘管如此,我們已針對「趨勢科技行動安全防護」釋出了最新的病毒碼,確保我們能夠偵測專門攻擊此漏洞的 App 程式。(使用者只要更新到 1.513.00 或更新版本的病毒碼就能安全無虞,所有攻擊此漏洞的 App 程式都將偵測為 Android_ExploitSign.HRX。) 如此已足夠確保我們的使用者不受此威脅影響。
趨勢科技強烈建議使用者關閉安裝非 Google Play 來源應用程式的功能。這項設定在 Android 系統「設定」當中的「安全性」設定內。
Google 已經採取了一些措施來保護使用者。他們修改了線上商店的後端系統,任何想利用此漏洞的 App 程式都會被封鎖。因此,使用者只要不從其他來源下載 App 程式,也不要自行安裝 APK 檔案,就不會有此風險。該公司也提供了一個修正檔案來解決這項漏洞,並已提供給 OEM 廠商。我們希望這項修正的急迫性可以讓部署不要受到延遲。
更新
我們找到了一篇有關同一攻擊使用另一種手法來略過 Android 簽章檢查機制的報導,這項手法使用的是 Java Zipfile 實作上的一個漏洞。目前我們正在研究如何解決這項問題,所有使用此手法的惡意程式都將被偵測為 AndroidOS_ExploitSign.HRXA。
◎原文來源:
Android Vulnerability Affects 99% of Devices – Trend Micro Users Protected
還不是趨勢科技粉絲嗎?想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚加入粉絲,各種粉絲專屬驚奇好禮,不定期放送中