近期媒體爆出谷歌市場(chǎng)上的索尼官方的備份與恢復(fù)應(yīng)用“Backup and Restore”被黑的消息，這對(duì)于在中國(guó)市場(chǎng)節(jié)節(jié)敗退的索尼手機(jī)來(lái)說(shuō)無(wú)異于雪上加霜。近期，索尼預(yù)計(jì)全年智能手機(jī)出貨量為4100萬(wàn)臺(tái)，針對(duì)這些索尼手機(jī)的忠實(shí)用戶，被黑的應(yīng)用為什么可以安裝升級(jí)？用戶又該怎么樣減少影響呢？ 阿里錢盾專家針對(duì)此次事件進(jìn)行了深入分析，為索尼用戶和其他安卓手機(jī)用戶保障自身信息安全，網(wǎng)購(gòu)安全出謀劃策。

當(dāng)前安卓應(yīng)用安裝過(guò)程中未對(duì)應(yīng)用的自簽名證書(shū)進(jìn)行驗(yàn)證，從而使得被黑的索尼官方應(yīng)用還能正常安裝

如圖所示紅色部分，從待安裝應(yīng)用中提取的開(kāi)發(fā)者證書(shū)，除了開(kāi)發(fā)者證書(shū)公鑰不能篡改之外，其它信息都可以被攻擊者隨意修改，包括證書(shū)序號(hào)、開(kāi)發(fā)者名字、證書(shū)有效期等。而且修改之后，不會(huì)影響apk的安裝、升級(jí)、運(yùn)行等操作，其原因在于android系統(tǒng)只驗(yàn)證了數(shù)字簽名，卻沒(méi)有驗(yàn)證用來(lái)生成數(shù)字簽名的證書(shū)信息。因此攻擊者可以輕而易舉就可以改變應(yīng)用的開(kāi)發(fā)者姓名，證書(shū)信息等，能讓用戶進(jìn)行正常應(yīng)用升級(jí)成被黑應(yīng)用。這一漏洞還可能造成知識(shí)版權(quán)問(wèn)題，例如可以把Google開(kāi)發(fā)的應(yīng)用的開(kāi)發(fā)者證書(shū)信息修改成攻擊者的名字，擴(kuò)大攻擊者的影響力;或者攻擊者把自己開(kāi)發(fā)的惡意應(yīng)用冠上Google的名字，博取用戶信任。后者的風(fēng)險(xiǎn)非常大。

作為安卓手機(jī)最權(quán)威的官方應(yīng)用市場(chǎng)，Google Play一直以來(lái)都是安卓應(yīng)用市場(chǎng)中最安全的市場(chǎng)之一。但本次被黑應(yīng)用上架的市場(chǎng)正是谷歌市場(chǎng)，可見(jiàn)其在審核的過(guò)程也存在漏洞。據(jù)此前阿里移動(dòng)安全的研究分析，被黑和仿冒應(yīng)用的風(fēng)險(xiǎn)普遍存在，有超過(guò)80%的熱門應(yīng)用都存在仿冒，且平均仿冒數(shù)量高達(dá)13個(gè)。若再將開(kāi)發(fā)者信息的仿冒包含在內(nèi)，仿冒應(yīng)用的風(fēng)險(xiǎn)形式必將更加嚴(yán)峻。

在國(guó)內(nèi)部分應(yīng)用市場(chǎng)上，應(yīng)用的開(kāi)發(fā)者信息在應(yīng)用查看，下載和安裝的過(guò)程都不進(jìn)行顯示。且安卓手機(jī)上是否允許非官方應(yīng)用市場(chǎng)來(lái)源的應(yīng)用的選項(xiàng)往往是打開(kāi)的。國(guó)內(nèi)安卓的整體安全性更讓人擔(dān)憂。

針對(duì)索尼官方應(yīng)用被黑，谷歌市場(chǎng)已經(jīng)緊急下架該應(yīng)用，由于目前找不到被黑應(yīng)用，真正的攻擊方式難以確認(rèn)。經(jīng)過(guò)阿里錢盾專家的分析，攻擊者可能通過(guò)以下步驟進(jìn)行攻擊。首先攻擊者將應(yīng)用中的開(kāi)發(fā)者信息修改，若掌握了索尼的私鑰，攻擊者就更可能修改了官方應(yīng)用，甚至植入了惡意代碼。之后攻擊者還可能盜取了索尼的谷歌賬號(hào)，利用這一賬號(hào)來(lái)實(shí)現(xiàn)被黑應(yīng)用的上架。

雖然本次事件不一定會(huì)造成嚴(yán)重風(fēng)險(xiǎn)，但因?yàn)榘沧繎?yīng)用安裝的漏洞和安卓應(yīng)用市場(chǎng)的不規(guī)范，導(dǎo)致不可信應(yīng)用非常普遍，用戶還是需要引起注意，阿里錢盾專家提醒大家：

涉及賬戶，資金的應(yīng)用如淘寶，支付寶，微信等 盡量在官方網(wǎng)站進(jìn)行應(yīng)用下載。

謹(jǐn)慎選擇應(yīng)用，并在手機(jī)上安裝安全軟件，防止自身信息的泄露。

用戶可以通過(guò)安裝阿里錢盾，獲得最重要的網(wǎng)購(gòu)和資金安全保護(hù)。

在不久的將來(lái)，云計(jì)算一定會(huì)徹底走入我們的生活，有興趣入行未來(lái)前沿產(chǎn)業(yè)的朋友，可以收藏云計(jì)算，及時(shí)獲取人工智能、大數(shù)據(jù)、云計(jì)算和物聯(lián)網(wǎng)的前沿資訊和基礎(chǔ)知識(shí)，讓我們一起攜手，引領(lǐng)人工智能的未來(lái)！

標(biāo)簽： Google 安全 大數(shù)據(jù) 代碼 谷歌 開(kāi)發(fā)者 漏洞 媒體 信息安全 云計(jì)算

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。