於 2013年 7月,Bluebox 保安研究團隊報告,他們發現 Android 系統保安模組存在嚴重漏洞,容許黑客在沒有破壞程式的加密簽證下,竄改 APK 檔案 (Android 應用程式安裝檔) 變成木馬程式,而不讓應用商店及手機用戶察覺。
該報告指這個稱為 Master Key 的漏洞,影響近 99% 的 Android 系統裝置。這個漏洞從 2009年推出的 Android 1.6 已經存在,影響著近 4年來的 Android 手機,共約 9億台裝置。
加密簽證 (cryptographic signature),是透過一個加密機制,對檔案進行簽署。所有的應用程式都存有加密簽證,讓 Android 系統驗證應用程式是否合法和確認是否曾被修改。這個簽署可確認檔案的完整性和提供認證功能。這次 Master Key 漏洞,正是 Android 系統在簽署和驗證檔案存在差異,令黑客有機會竄改合法的 APK 檔案,套用該應用程式的權限,存取手機資料和控制系統,而不被發覺。
啟用「驗證應用程式」:設定 > 安全性 > 驗證應用程式
不過,Google 表示,經過她們的保安掃瞄後,並沒有證據顯示在 Play 商店下的應用程式受到影響和被利用。Google 的「驗證應用程式」(Verify Apps) 能為 Android 用戶提供安全保護。「驗證應用程式」是 Android 4.2 的新功能,能在安裝應用程式之前,檢查應用程式是否安全。
圖) 啟用「驗證應用程式」
安裝 Bluebox Security Scanner 來檢查你的裝置
如果你的手機系統沒有更新到 Android 4.2,你可以從 Play 商店下載「Bluebox Security Scanner」應用程式。它可以為你檢測手機是否存在 Master Key 漏洞,是否容許安裝第三方應用程式,及掃瞄有沒有針對此漏洞的惡意程式。
https://play.google.com/store/apps/details?id=com.bluebox.labs.onerootscanner
總結以上的 Android 漏洞,HKCERT 建議 Android 用戶透過官方 Play 商店下載應用程式,及參考 HKCERT 提供的流動手機安全指南,以防止手機安裝惡意程式。
資料來源:http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key/
(文章內容由 HKCERT 提供)