本刊記者 | 黃海峰

近日， Android（安卓）操作系統(tǒng)被曝存在一個系統(tǒng)級高危漏洞，99%的Android設(shè)備面臨巨大風(fēng)險。相關(guān)安全問題研究人員認(rèn)為，這個缺陷讓黑客獲得了一把進(jìn)入Android系統(tǒng)的“萬能鑰匙”，黑客甚至可以“控制手機(jī)的正常功能”。該事件引起眾多Android手機(jī)用戶的擔(dān)憂，成為業(yè)界關(guān)注焦點。

影響大、解決難

據(jù)悉，每個Android應(yīng)用程序都會有一個數(shù)字簽名，來保證應(yīng)用程序在發(fā)行過程中不被篡改。該漏洞是由于Android系統(tǒng)APK安裝包校驗不完整導(dǎo)致的。黑客利用該漏洞在不破壞APP數(shù)字簽名的情況下，可篡改任何正常手機(jī)應(yīng)用，并進(jìn)而控制中招手機(jī)，實現(xiàn)偷賬號、竊隱私、打電話或發(fā)短信等任意行為，從而使手機(jī)瞬間淪為“肉雞”。

此次漏洞影響范圍很大，且難以很快解決。從Android4年前的1.6版到最流行的Android4.0全部存在Android系統(tǒng)簽名漏洞，漏洞涉及的Android設(shè)備數(shù)以億計。IDC市場研究公司5月份統(tǒng)計，世界上75%的智能手機(jī)都使用Android操作系統(tǒng)。

據(jù)了解，谷歌今年2月就已收到了上述漏洞信息，但并未就此作出公開回應(yīng)，也沒有給出官方補丁的發(fā)布日程表。7月1日谷歌宣稱已經(jīng)開發(fā)出了相應(yīng)補丁程序，并已將其提供給三星等OEM廠商。但是，由于大部分Android手機(jī)使用的均為非原生Android系統(tǒng)，涉及全球數(shù)以萬計的Android手機(jī)廠商。因此，該漏洞在短期內(nèi)得到谷歌官方大面積修復(fù)的可能性較低。

最佳途徑：殺毒軟件

業(yè)內(nèi)人士認(rèn)為，對普通Android用戶而言，目前能快速解決威脅的最佳途徑是依靠可隨時升級的Android手機(jī)殺毒軟件。近日騰訊、360、金山毒霸等眾多殺毒廠商迅速采取了行動，針對Android系統(tǒng)簽名漏洞完成緊急升級，推出查殺工具。

“漏洞不僅僅這一個?！鄙鲜鲵v訊人士介紹，騰訊獨家發(fā)現(xiàn)的第二個漏洞是由于Android系統(tǒng)軟件簽名校驗不完整導(dǎo)致的。Android系統(tǒng)在驗證系統(tǒng)軟件的時候只對軟件的AndroidManifest.xml文件進(jìn)行了簽名校驗，而沒有對軟件的其他文件做簽名校驗。當(dāng)黑客將含有病毒或者木馬的代碼注入系統(tǒng)軟件的dex文件中時，Android系統(tǒng)會認(rèn)為該軟件是安全的，從而允許利用了該漏洞的惡意軟件被成功安裝。

騰訊移動安全實驗室聯(lián)合騰訊手機(jī)管家發(fā)布上述兩個漏洞的專殺工具M(jìn)aster Key，補上漏洞。據(jù)介紹，騰訊手機(jī)管家發(fā)布Master Key專殺工具，完善了APK安裝包的校驗流程以及Android系統(tǒng)軟件的簽名校驗流程，及時查殺利用該類漏洞的病毒或者惡意軟件。

另外，業(yè)內(nèi)人士建議，除了升級手機(jī)殺毒軟件，用戶還應(yīng)從官方網(wǎng)站等正規(guī)、安全的渠道下載手機(jī)應(yīng)用，以免下載到被惡意篡改的帶毒程序。