三星智能手機(jī)存在重大安全漏洞

由于重大安全漏洞，許多 Android OEM 的證書最近被公開。由于此安全問題，全球數(shù)百萬 Android 智能手機(jī)現(xiàn)在容易受到惡意軟件的攻擊。

由于重大安全漏洞，安全研究人員對(duì)惡意應(yīng)用程序的開發(fā)發(fā)出了警告，這些應(yīng)用程序可以訪問整個(gè) Android 操作系統(tǒng)。為谷歌工作的惡意軟件工程師 Lukasz Siewierski報(bào)告了此次泄密事件。

據(jù)谷歌的 Android 安全團(tuán)隊(duì)稱，包括三星、LG 和聯(lián)發(fā)科在內(nèi)的許多 Android OEM的應(yīng)用程序簽名證書都已泄露，這使得黑客可以輕松地在設(shè)備上安裝惡意應(yīng)用程序。

應(yīng)用程序簽名證書有什么作用?

應(yīng)用簽名是 Android 智能手機(jī)安全的重要組成部分。由于用于簽署應(yīng)用程序的密鑰應(yīng)始終保密。這只是一種確保應(yīng)用程序更新源自原始創(chuàng)建者的技術(shù)。

Android.uid.system 是一個(gè)高度特權(quán)的用戶 ID，由使用此證書簽名的應(yīng)用程序使用。后者可以訪問用戶數(shù)據(jù)以及其他系統(tǒng)權(quán)限。在對(duì) Android 操作系統(tǒng)具有相同級(jí)別的訪問權(quán)限的情況下，任何其他使用相同證書認(rèn)證的應(yīng)用程序都可以宣布它希望使用相同的用戶 ID 運(yùn)行。

問題在于，其中一些來自 LG、三星和聯(lián)發(fā)科的證書似乎已被泄露，更糟糕的是，它們被用于簽署惡意軟件。

簡單來說，擁有私鑰的黑客可以用惡意軟件感染流行的應(yīng)用程序。不管軟件來自哪里。該應(yīng)用程序?qū)@得更新，因?yàn)閻阂獍姹臼褂?Android 安全信任的相同密鑰。