近期媒體爆出谷歌市場上的索尼官方的備份與恢復應用“Backup and Restore”被黑的消息,這對于在中國市場節(jié)節(jié)敗退的索尼手機來說無異于雪上加霜。近期,索尼預計全年智能手機出貨量為4100萬臺,針對這些索尼手機的忠實用戶,被黑的應用為什么可以安裝升級?用戶又該怎么樣減少影響呢? 阿里錢盾專家針對此次事件進行了深入分析,為索尼用戶和其他安卓手機用戶保障自身信息安全,網(wǎng)購安全出謀劃策。
1. 為什么被黑的應用可以安裝?甚至升級替換官方應用?
當前安卓應用安裝過程中未對應用的自簽名證書進行驗證,從而使得被黑的索尼官方應用還能正常安裝
如圖所示紅色部分,從待安裝應用中提取的開發(fā)者證書,除了開發(fā)者證書公鑰不能篡改之外,其它信息都可以被攻擊者隨意修改,包括證書序號、開發(fā)者名字、證書有效期等。而且修改之后,不會影響apk的安裝、升級、運行等操作,其原因在于android系統(tǒng)只驗證了數(shù)字簽名,卻沒有驗證用來生成數(shù)字簽名的證書信息。因此攻擊者可以輕而易舉就可以改變應用的開發(fā)者姓名,證書信息等,能讓用戶進行正常應用升級成被黑應用。這一漏洞還可能造成知識版權問題,例如可以把Google開發(fā)的應用的開發(fā)者證書信息修改成攻擊者的名字,擴大攻擊者的影響力;或者攻擊者把自己開發(fā)的惡意應用冠上Google的名字,博取用戶信任。后者的風險非常大。
2. 最權威的市場也可能存在仿冒的應用
作為安卓手機最權威的官方應用市場,Google Play一直以來都是安卓應用市場中最安全的市場之一。但本次被黑應用上架的市場正是谷歌市場,可見其在審核的過程也存在漏洞。據(jù)此前阿里移動安全的研究分析,被黑和仿冒應用的風險普遍存在,有超過80%的熱門應用都存在仿冒,且平均仿冒數(shù)量高達13個。若再將開發(fā)者信息的仿冒包含在內(nèi),仿冒應用的風險形式必將更加嚴峻。
在國內(nèi)部分應用市場上,應用的開發(fā)者信息在應用查看,下載和安裝的過程都不進行顯示。且安卓手機上是否允許非官方應用市場來源的應用的選項往往是打開的。國內(nèi)安卓的整體安全性更讓人擔憂。
3. 索尼官方應用怎樣被黑?
針對索尼官方應用被黑,谷歌市場已經(jīng)緊急下架該應用,由于目前找不到被黑應用,真正的攻擊方式難以確認。經(jīng)過阿里錢盾專家的分析,攻擊者可能通過以下步驟進行攻擊。首先攻擊者將應用中的開發(fā)者信息修改,若掌握了索尼的私鑰,攻擊者就更可能修改了官方應用,甚至植入了惡意代碼。之后攻擊者還可能盜取了索尼的谷歌賬號,利用這一賬號來實現(xiàn)被黑應用的上架。
4. 應用不可信?用戶應該如何是好?
雖然本次事件不一定會造成嚴重風險,但因為安卓應用安裝的漏洞和安卓應用市場的不規(guī)范,導致不可信應用非常普遍,用戶還是需要引起注意,阿里錢盾專家提醒大家:
a) 涉及賬戶,資金的應用如淘寶,支付寶,微信等盡量在官方網(wǎng)站進行應用下載。
b) 謹慎選擇應用,并在手機上安裝安全軟件,防止自身信息的泄露。
c) 用戶可以通過安裝阿里錢盾,獲得最重要的網(wǎng)購和資金安全保護。