稍早資訊安全研究人員披露了一個新的 Android 手機漏洞,該漏洞可能讓已安裝的 App 程式在使用者不知情的狀況下遭到竄改。幾乎所有的 Android 裝置都受到影響,因為此漏洞從 Android 1.6 (甜甜圈) 版本即已存在,目前僅有 Samsung Galaxy S4 修正了這項問題。
此漏洞 (有人稱之為「Master Key」金鑰漏洞) 吸引了大批媒體關注,但並非所有的媒體報導都正確。趨勢科技已經更新了「趨勢科技行動安全防護for Android中文版」來保護我們的使用者,但我們還是要特別在此澄清一下這到底是怎麼回事,這是什麼樣的威脅,以及使用者該做些什麼。
什麼是「Master Key」金鑰漏洞?
此漏洞與 Android App 程式的簽署方式有關。所有的 Android App 程式都內含一個開發廠商提供的數位簽章,用來證明該程式「的確」 來自於該廠商,並且在傳送的過程當中從未被竄改。當 App 有新的版本時,除非新的版本也有來自於同一開發廠商的數位簽章,否則就無法更新。
此漏洞正是和這最後一個步驟有關。研究人員發現,歹徒即使「沒有」原始開發廠商的簽署金鑰,也能更新系統已安裝的 App 程式。簡而言之,任何已安裝的程式都可能被更新成惡意版本。
請注意,就技術而言,並沒有所謂的金鑰遭到外洩。當然,任何 App 程式都可能被竄改並用於惡意用途,但這當中並不是因為「金鑰」外洩。
有何風險?
此漏洞可讓歹徒將 Android 裝置上原本正常的 App 程式換成惡意程式。一些擁有許多裝置權限的 App 程式,如手機製造商或電信業者提供的 App 程式,尤其容易成為目標。
這類程式一旦進入裝置,它們的行為就像任何惡意 App 程式一樣,只不過使用者會以為它們是完全正常的程式。例如,一個遭到竄改/木馬化的網路銀行 App 程式,還是能夠像往常一樣運作,但使用者輸入的帳號密碼可能就會被歹徒所竊取。
使用者如何保護自己?
趨勢科技已經更新了「行動裝置應用程式信譽評等」資料庫來偵測專門攻擊這項漏洞的 App 程式,但目前尚未發現任何這類程式。儘管如此,我們已針對「趨勢科技行動安全防護」釋出了最新的病毒碼,確保我們能夠偵測專門攻擊此漏洞的 App 程式。(使用者只要更新到 1.513.00 或更新版本的病毒碼就能安全無虞,所有攻擊此漏洞的 App 程式都將偵測為 Android_ExploitSign.HRX。) 如此已足夠確保我們的使用者不受此威脅影響。
趨勢科技強烈建議使用者關閉安裝非 Google Play 來源應用程式的功能。這項設定在 Android 系統「設定」當中的「安全性」設定內。 繼續閱讀
