国内应用商店面临安卓签名漏洞考验下载Ap

近日，安卓系统连续出现高危签名漏洞，使黑客可以在不破坏数字签名的情况下篡改应用，进而可完全控制中招。虽然谷歌官方已经提供了相应补丁，但对用户来说还是要等待厂商来修复漏洞。安全专家表示，史上最强Android漏洞的出现对第三方应用市场来说是不小的考验，建议用户下载应用时提高警惕。据了解，360卫士已经可以查杀利用漏洞的恶意软件。

安全专家表示，这两个漏洞的原理虽然不同，但具有类似危害，可让黑客在不破坏或更换已验证数字签名的情况下，向原版应用中任意添加恶意代码，甚至包括安卓本身的系统应用。这意味着，任何一个安卓应用，即使通过了某些应用商店的安全审核，仍有可能藏有恶意代码。

据安全专家介绍，近期曝光的第一个签名漏洞已经存在四年之久，影响范围涉及99%的安卓设备。而第二个签名漏洞的发现，使安卓应用商店的现有安全验证机制面临严峻的考验。

第三方应用商店是应用安全的一道重要关卡，而这两个数字签名漏洞使部分应用商店的安全机制形同虚设，直接进入用户作恶。数据显示，中国较大的本土应用商店数量已经达到50个。安全专家表示，国内绝大部分安卓用户会通过第三方应用商店下载应用，此次曝光的签名漏洞势必会对国内的应用商店造成一定的影响。

安全专家指出，为提升用户的安全性，加强应用的审核机制势在必行。用户在下载应用时也要提高警惕，同时建议尽量不要从论坛等未经验证的渠道下载应用。

来源：CCTIME飞象