近期媒體爆出谷歌市場上的索尼官方的備份與恢復(fù)應(yīng)用“Backup and Restore”被黑的消息，這對于在中國市場節(jié)節(jié)敗退的索尼手機來說無異于雪上加霜。近期，索尼預(yù)計全年智能手機出貨量為4100萬臺，針對這些索尼手機的忠實用戶，被黑的應(yīng)用為什么可以安裝升級？用戶又該怎么樣減少影響呢？ 阿里錢盾專家針對此次事件進行了深入分析，為索尼用戶和其他安卓手機用戶保障自身信息安全，網(wǎng)購安全出謀劃策。

當(dāng)前安卓應(yīng)用安裝過程中未對應(yīng)用的自簽名證書進行驗證，從而使得被黑的索尼官方應(yīng)用還能正常安裝

如圖所示紅色部分，從待安裝應(yīng)用中提取的開發(fā)者證書，除了開發(fā)者證書公鑰不能篡改之外，其它信息都可以被攻擊者隨意修改，包括證書序號、開發(fā)者名字、證書有效期等。而且修改之后，不會影響apk的安裝、升級、運行等操作，其原因在于android系統(tǒng)只驗證了數(shù)字簽名，卻沒有驗證用來生成數(shù)字簽名的證書信息。因此攻擊者可以輕而易舉就可以改變應(yīng)用的開發(fā)者姓名，證書信息等，能讓用戶進行正常應(yīng)用升級成被黑應(yīng)用。這一漏洞還可能造成知識版權(quán)問題，例如可以把Google開發(fā)的應(yīng)用的開發(fā)者證書信息修改成攻擊者的名字，擴大攻擊者的影響力;或者攻擊者把自己開發(fā)的惡意應(yīng)用冠上Google的名字，博取用戶信任。后者的風(fēng)險非常大。

作為安卓手機最權(quán)威的官方應(yīng)用市場，Google Play一直以來都是安卓應(yīng)用市場中最安全的市場之一。但本次被黑應(yīng)用上架的市場正是谷歌市場，可見其在審核的過程也存在漏洞。據(jù)此前阿里移動安全的研究分析，被黑和仿冒應(yīng)用的風(fēng)險普遍存在，有超過80%的熱門應(yīng)用都存在仿冒，且平均仿冒數(shù)量高達13個。若再將開發(fā)者信息的仿冒包含在內(nèi)，仿冒應(yīng)用的風(fēng)險形式必將更加嚴(yán)峻。

在國內(nèi)部分應(yīng)用市場上，應(yīng)用的開發(fā)者信息在應(yīng)用查看，下載和安裝的過程都不進行顯示。且安卓手機上是否允許非官方應(yīng)用市場來源的應(yīng)用的選項往往是打開的。國內(nèi)安卓的整體安全性更讓人擔(dān)憂。

針對索尼官方應(yīng)用被黑，谷歌市場已經(jīng)緊急下架該應(yīng)用，由于目前找不到被黑應(yīng)用，真正的攻擊方式難以確認(rèn)。經(jīng)過阿里錢盾專家的分析，攻擊者可能通過以下步驟進行攻擊。首先攻擊者將應(yīng)用中的開發(fā)者信息修改，若掌握了索尼的私鑰，攻擊者就更可能修改了官方應(yīng)用，甚至植入了惡意代碼。之后攻擊者還可能盜取了索尼的谷歌賬號，利用這一賬號來實現(xiàn)被黑應(yīng)用的上架。

雖然本次事件不一定會造成嚴(yán)重風(fēng)險，但因為安卓應(yīng)用安裝的漏洞和安卓應(yīng)用市場的不規(guī)范，導(dǎo)致不可信應(yīng)用非常普遍，用戶還是需要引起注意，阿里錢盾專家提醒大家：

涉及賬戶，資金的應(yīng)用如淘寶，支付寶，微信等 盡量在官方網(wǎng)站進行應(yīng)用下載。

謹(jǐn)慎選擇應(yīng)用，并在手機上安裝安全軟件，防止自身信息的泄露。

用戶可以通過安裝阿里錢盾，獲得最重要的網(wǎng)購和資金安全保護。

在不久的將來，云計算一定會徹底走入我們的生活，有興趣入行未來前沿產(chǎn)業(yè)的朋友，可以收藏云計算，及時獲取人工智能、大數(shù)據(jù)、云計算和物聯(lián)網(wǎng)的前沿資訊和基礎(chǔ)知識，讓我們一起攜手，引領(lǐng)人工智能的未來！

標(biāo)簽： Google 安全 大數(shù)據(jù) 代碼 谷歌 開發(fā)者 漏洞 媒體 信息安全 云計算

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。