Android v1.6 即存在安全漏洞,危及 9 億台 Android 裝置
2013 年 07 月 05 日
病毒研究網站 Bluebox Security 在其官方落落格發文指出,一項自 Android 1.6 版本 (代號:Donut) 開始便存在的安全漏洞,讓駭客不必破解應用程式加密的簽名檔就可修改 APK 碼,可能使任何合法的應用程式變成惡意的木馬程式。這項安全漏洞所造成的影響非常大,可能危及過去四年來所推出的 Android 手機,亦即近 9 億台 Android 裝置。
據 Bluebox Security 表示,由於這一安全漏洞,目前市面上有 26 萬多個 App 將會引發木馬病毒,它們透過 email、通訊軟體或作業系統等,散播殭屍病毒,使得駭客可以輕易取得用戶個人及公司的帳戶、密碼及其他機密資料。根據統計,這 26 萬多個 App,約佔所有 Android App 的 92%。據稱,全球已有 500 多個 Android 系統 App 的商城受影響,這些商城大多都來自俄羅斯和中國。
針對此項安全漏洞,Bluebox Security 預料將在 7 月底於美國拉斯維加斯舉行的 Black Hat 安全大會上進行詳細的說明。
下圖為 HTC 手機製造商系統層級的軟體資訊被修改後的情形 (Baseband Version 字串中被加入了 Bluebox Security 公司名稱「Bluebox」):