Android操作系统存在一个签名验证绕过的高危漏洞

标签:安全技术移动互联网

访客:80729  发表于:2013-09-21 09:41:53

来源:CNCERT 时间:2013-07-11
 
        近日,CNCERT主办的国家信息安全漏洞共享平台   (CNVD)收录了Android操作系统存在一个签名验证绕过的高危漏洞(编号:CNVD-2013-28152)。攻击者利用该漏洞可以篡改合法应用程序的安装文件并植入恶意代码并绕过 Android系统数字签名验证,进而大规模传播手机恶意程序,对广大Android智能终端用户构成威胁。具体情况如下:

一、漏洞情况分析

        Android操作系统对应用程序安装文件( APK文件)采用一套数字签名校验机制来确认安装文件的有效性和完整性,用于防范应用程序的篡改和伪造。根据测试情况,该套校验机制存在不完全校验设计缺陷,对应用程序安装包内相同文件名的多个文件仅执行一次数字签名验证,验证成功后就继续执行后续文件安装操作。攻击者可以精心构造同名恶意代码文件,使得应用程序既可通过Android系统的验证又可将恶意代码文件在安装过程中替换原有正常文件。

二、漏洞影响范围

CNVD对该漏洞的综合评级为“高危”。

        受该漏洞影响的Android系统版本包括Android 1.6至Android 4.2.2之间相关版本。CNCERT研判认为,随着漏洞信息的逐步披露和扩散,有可能被利用发起恶意程序制造和传播的大规模攻击活动,严重威胁Android智能终端用户安全。

三、应对措施建议

        根据互联网上公开报道称,Android操作系统生产厂商——谷歌公司确认该漏洞的存在,但未公开漏洞的详细信息。CNCERT在获知漏洞情况后询问了国内部分Android系统手机厂商,相关厂商尚未针对该漏洞采取技术应对措施。相关建议如下:

(一)手机厂商可自行对待出厂产品采取一些临时技术措施进行防范,同时对已售产品提供更新程序,以备用户自行下载或在线完成系统更新。

(二)应用商店应加强应用程序安全检测,及时发现伪造合法签名的恶意程序。按照工业和信息化部《移动互联网恶意程序监测与处置机制》,配合CNCERT做好应用程序的鉴定和处置相关工作。

(三)Android智能终端用户需提高警惕,避免下载不明来源或未知签名的应用程序,如发现应用程序存在恶意行为,请及时卸载并举报。

如需技术支援,请联系CNCERT。电子邮箱:cncert@cert.org.cn,联系电话:010-82990999。

(注:北京奇虎科技有限公司、哈尔滨安天科技有限公司、金山软件有限公司三家公司协助对漏洞情况进行了较为深入的分析)

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");