最强漏洞挑战Android安全机制360新时代

最强漏洞挑战Android安全机制 360卫士率先防御

近日，号称影响99%安卓设备，被称为史上最强Android漏洞被发现的消息引起广泛关注。黑客利用该漏洞可以在不改变Android APP数字签名的情况下，随意在应用中植入恶意代码，这将给Android系统判断APP可靠性带来极大麻烦。

有安全专家认为，这一漏洞让Android的数字签名机制形同虚设，一旦被大规模利用，Android安全性面临前所未有的挑战。目前，利用360卫士等安全软件可以检测应用是否被篡改，并查杀包含恶意代码的被篡改应用，这也是目前防御该漏洞攻击的最有效方式。

据360安全专家介绍，APP数字签名主要是为了防止东丽推出了耐火且抗静电的NAFLAME-EL材料。虽然该产品还处于开发阶段恶意可以一路畅通软件入侵，未经任何签名的应用很难通过市场被下载安装，因此，签名保证了每个应用程序都来源于合法开发商。但这种安全校验机制在Android签名漏洞面前已全面失效。黑客利用该漏洞可以在不破坏数字签名的情况下，向原版应用内任意添加恶意代码，甚至系统应用也不例外。换句话说，黑客所做的破坏行为很可能要由官方原版应用的开发商来为其买单。

有专家担心，黑客一旦利用该漏洞发动全民攻击，则可能构建庞大的僵尸络，完全掌控用户，如对外群发诈骗短信、拨打骚扰，甚至偷偷开启摄像头等，使彻底沦为黑客的超强间谍工具。此外，中招中的通讯录、短信、通话记录、银及银行账号等更易被黑客信手拈来。

与此同时，利用该漏洞的攻击代码已开始在国外站散播。有消息称，目前谷歌官方正在对这一严重漏洞进行修补，但对于大多数普通安卓用户来说，即使官方发布了安全补丁，也很难得到谷歌官方的直接推送，而是需要耐心等待Android厂商的积极跟进和升级补丁。

鉴于该漏洞危害程度高，360安全中心已紧急向工信部、国家互联应急中心(CNCERT)等相关政府部门汇报了该漏洞的相关技术细节和危害。360安全专家建议安卓用户，在漏洞修复前的安全真空期可使用最新版360卫士查杀利用该漏洞的恶意软件，同时尽量从应用官方站或360助手等正规、可信的下载渠道下载应用，保护安全。

关注ITBear科技资讯公众号（itbear365 ），每天推送你感兴趣的科技内容。

特别提醒：本内容转载自其他媒体，目的在于传递更多信息，并不代表本赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接及连带。如若本有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。