99%安卓手机或存重大安全漏洞

本刊记者 | 黄海峰

近日， Android（安卓）操作系统被曝存在一个系统级高危漏洞，99%的Android设备面临巨大风险。相关安全问题研究人员认为，这个缺陷让黑客获得了一把进入Android系统的“万能钥匙”，黑客甚至可以“控制手机的正常功能”。该事件引起众多Android手机用户的担忧，成为业界关注焦点。

影响大、解决难

据悉，每个Android应用程序都会有一个数字签名，来保证应用程序在发行过程中不被篡改。该漏洞是由于Android系统APK安装包校验不完整导致的。黑客利用该漏洞在不破坏APP数字签名的情况下，可篡改任何正常手机应用，并进而控制中招手机，实现偷账号、窃隐私、打电话或发短信等任意行为，从而使手机瞬间沦为“肉鸡”。

此次漏洞影响范围很大，且难以很快解决。从Android4年前的1.6版到最流行的Android4.0全部存在Android系统签名漏洞，漏洞涉及的Android设备数以亿计。IDC市场研究公司5月份统计，世界上75%的智能手机都使用Android操作系统。

据了解，谷歌今年2月就已收到了上述漏洞信息，但并未就此作出公开回应，也没有给出官方补丁的发布日程表。7月1日谷歌宣称已经开发出了相应补丁程序，并已将其提供给三星等OEM厂商。但是，由于大部分Android手机使用的均为非原生Android系统，涉及全球数以万计的Android手机厂商。因此，该漏洞在短期内得到谷歌官方大面积修复的可能性较低。

最佳途径：杀毒软件

业内人士认为，对普通Android用户而言，目前能快速解决威胁的最佳途径是依靠可随时升级的Android手机杀毒软件。近日腾讯、360、金山毒霸等众多杀毒厂商迅速采取了行动，针对Android系统签名漏洞完成紧急升级，推出查杀工具。

“漏洞不仅仅这一个。”上述腾讯人士介绍，腾讯独家发现的第二个漏洞是由于Android系统软件签名校验不完整导致的。Android系统在验证系统软件的时候只对软件的AndroidManifest.xml文件进行了签名校验，而没有对软件的其他文件做签名校验。当黑客将含有病毒或者木马的代码注入系统软件的dex文件中时，Android系统会认为该软件是安全的，从而允许利用了该漏洞的恶意软件被成功安装。

腾讯移动安全实验室联合腾讯手机管家发布上述两个漏洞的专杀工具Master Key，补上漏洞。据介绍，腾讯手机管家发布Master Key专杀工具，完善了APK安装包的校验流程以及Android系统软件的签名校验流程，及时查杀利用该类漏洞的病毒或者恶意软件。

另外，业内人士建议，除了升级手机杀毒软件，用户还应从官方网站等正规、安全的渠道下载手机应用，以免下载到被恶意篡改的带毒程序。