Android 台灣中文網

標題: 首批瑣定Android 數位簽章漏洞的惡意程式現身 [打印本頁]

作者: 游幃翔 時間: 2013-7-25 19:18
標題: 首批瑣定Android 數位簽章漏洞的惡意程式現身
此一被稱為「主密鑰」或「萬能金鑰」（Master Key）的漏洞允許駭客繞過數位簽章在合法的程式中藏匿惡意程式碼，還可使用既有的許可來執行機密任務。

登錄/註冊後可看大圖

受感染程式畫面。（圖片來源：Symantec）

行動安全業者Bluebox Security在7月初揭露Android安全模組中的一項漏洞，讓駭客可以繞過數位簽章篡改合法程式，並宣稱有99%的Android裝置都受到影響。另一資安業者Symantec則在周三（7/24）表示，已在中國的Android程式市集中發現6款利用該漏洞的惡意程式。

Android應用程式都必須經過數位簽署程序，除了確保程式未被篡改，也可證明程式是出自於原有的發佈商。此外，Android平台也採用一個程式等級的審核系統，要執行機密任務時必須先獲得許可，而數位簽章的目的即是為了避免程式及所附帶的許可被挾持。

此一被稱為「主密鑰」或「萬能金鑰」（Master Key）的漏洞允許駭客繞過數位簽章在合法的程式中藏匿惡意程式碼，還可使用既有的許可來執行機密任務。

Symantec先是在中國的Android程式市集中發現兩款已被感染的程式，這兩款程式皆屬醫藥程式，但被注射了惡意碼，讓駭客能夠遠端控制使用者的裝置，竊取諸如IMEI或電話號碼的機密資料，還能傳送高價的簡訊，以及透過最高命令關閉某些中國行動安全軟體。

同一天Symantec再發現由同一名駭客操縱的其他4款被感染的程式，包含一個受歡迎的新聞程式，以及電玩遊戲程式、紙牌遊戲程式與抽獎程式等。

Symantec將這類已被感染的程式統稱為Android.Skullkey，而且迄今所發現的6款Android.Skullkey都是針對中國市場所設計，還會傳送簡訊給使用者所有的聯絡人，在簡訊中邀請友人一起玩遊戲，並附上一個行動遊戲網站的連結。

Symantec預期駭客會繼續利用此一漏洞來感染使用者的裝置，建議使用者僅透過有聲譽的Android程式市集下載程式。（編譯/陳曉莉）
來源 ithome
====================================================
缺積分?? 缺碎鑽?? 缺鑽石?? 缺權限?? ...還是什麼都缺嗎?
可以參考以下兩篇 :
1. 共襄盛挙:結縁*随縁*感恩*惜福 APK.TW送給您\*伴手禮*/
2. 新會員必讀 ~升級密技~ 鑽石-任務-積分-權限-簽到-搜尋-發文
====================================================
歡迎大家踴躍加入群組內的 "九局棒棒歡樂新天地"/"香蕉卯上芭樂"和"韓流瘋"及" 爆爆遊樂園"不定期會有些小活動...歡迎踴躍參與...
====================================================
【其它小分享福利帖】
(第254波大放送) : 人人回帖有獎勵
(第253波大放送) : 人人回帖有獎勵
(第252波大放送) : 人人回帖有獎勵
(第251波大放送) : 人人回帖有獎勵
(第250波大放送) : 人人回帖有獎勵
<如須查詢更多相關內容,請自行爬文>

★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
★                         **以上報告完畢**                         ★
★    如果可以的話,幫我評個分數或是送一多花給我^^       ★
★    您的評分與鮮花,是我下次再發帖的原動力                ★
★                               謝謝~                                  ★
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★

====================================================
                                                                                 2013/07/25 By 游幃翔

歡迎光臨 Android 台灣中文網 (https://apk.tw/)