?

　　發(fā)現(xiàn)該漏洞的Bluebox實驗室將它稱為Fake ID，這個漏洞可以追溯到2010年1月，來自Apache Harmony(現(xiàn)已解散)的代碼被引入到Android平臺。它影響著Android版本2.1到4.3;谷歌在4月的KitKat版本中修復了這個漏洞。然而，根據(jù)谷歌的報告顯示，大約有82%的Android設(shè)備仍然在未修復該漏洞的平臺運行。

?

　　該Android漏洞出現(xiàn)在當惡意應(yīng)用程序使用受信任程序的ID時，即數(shù)字簽名方面出了問題。在Bluebox的博客中，首席技術(shù)官Jeff Forristal使用Adobe系統(tǒng)為例：Adobe擁有自己的數(shù)字簽名，并且來自Adobe的所有程序都是用基于該簽名的ID。由于Android授予Adobe特權(quán)，使用Adobe ID的任何應(yīng)用程序或程序都會繞過安全檢查，并且本質(zhì)上都是可信的。

?

　　通過使用ID假冒Adobe的應(yīng)用程序可能會滲透到設(shè)備中，而且操作系統(tǒng)和用戶不會感覺到任何異樣。Forristal還指出了另外兩個可能的危險情景，包括一個應(yīng)用程序偽裝成谷歌錢包的簽名來訪問設(shè)備的近場通信芯片來收集財務(wù)、支付和其他敏感用戶數(shù)據(jù)，以及一個應(yīng)用程序使用3LM軟件的ID(現(xiàn)已解散的皮膚生產(chǎn)廠家)來控制設(shè)備和植入惡意軟件。

?

　　這個問題不僅限于單個公司、應(yīng)用程序或簽名，在很多情況下，即使設(shè)備管理軟件也可能上當，如果不及時更新的話。

?

　　在今年3月份，Bluebox將這個漏洞報告給了谷歌，谷歌在4月份迅速發(fā)布了補丁給制造商、Android合作伙伴和Android開源項目，制造商有90天時間來部署。谷歌還聲稱Google Aplay和Verify Apps的安全性已經(jīng)被更新來檢測該問題。谷歌在聲明中指出：“現(xiàn)在，我們已經(jīng)掃描了提交到Google Play的所有應(yīng)用程序，以及谷歌從Google Play以外審查的程序，我們沒有看到任何證據(jù)表明對該漏洞的利用。”

?

　　想要保護用戶和BYOD員工免受Fake ID漏洞影響，企業(yè)在下載應(yīng)用時需要做出明智的決策。僅下載Google Play商店中獲批準的應(yīng)用，永遠不要使用來自不受信任來源的應(yīng)用。更新版本的反惡意軟件也應(yīng)該能夠檢測到該漏洞。

?

　　為了緩解企業(yè)BYOD風險，安全部門應(yīng)該使用應(yīng)用程序白名單來批準受信任的應(yīng)用;培訓員工如何避免網(wǎng)絡(luò)釣魚攻擊;使用具有應(yīng)用縫隙的軟件;并且，為了獲得最高安全性，企業(yè)可以構(gòu)建企業(yè)應(yīng)用商店，其中提供企業(yè)認可的應(yīng)用來供員工下載。

?

　　Bluebox還發(fā)布了Bluebox Security Scanner，這可以檢測Fake ID漏洞。目前關(guān)于該漏洞是如何被發(fā)現(xiàn)的細節(jié)還沒有公布，F(xiàn)orristal會在黑帽大會上公布調(diào)查結(jié)果。

?