7月30日，安卓系統(tǒng)再曝新的高危系統(tǒng)簽名漏洞，360手機(jī)安全專家申迪稱，這是繼2013年7月發(fā)現(xiàn)的簽名漏洞后，最新發(fā)現(xiàn)的可以假冒正規(guī)應(yīng)用的系統(tǒng)簽名漏洞。雖然較之前的漏洞危害要小一些，但威脅依然非常巨大，影響部分4.4及所有4.4以下版本的安卓系統(tǒng)，這意味著包括國內(nèi)用戶在內(nèi)的超過九成以上安卓手機(jī)用戶，都會受到影響。

　　國外安全公司Bluebox Security在報告中表示，根本問題在于Android校驗應(yīng)用身份時采取的方式。驗證身份是網(wǎng)絡(luò)世界中最根本的問題之一。例如，登錄銀行賬號的人是否是該賬號的所有者?某款應(yīng)用是否真如其所宣稱的那樣?每一款A(yù)ndroid應(yīng)用都有自己的數(shù)字簽名，也就是ID卡。

　　例如，某手機(jī)APP在Android上有一個指定簽名，而該應(yīng)用開發(fā)商開發(fā)的所有程序都有一個基于該簽名的ID。但Bluebox卻發(fā)現(xiàn)，當(dāng)一款應(yīng)用亮出該公司ID時，Android不會卻向該應(yīng)用開發(fā)商核實該ID的真實性。換句話說，網(wǎng)絡(luò)犯罪分子可以利用假冒的簽名來開發(fā)惡意軟件，從而感染用戶的整個系統(tǒng)。

　　嚴(yán)重的是該問題并不局限于某一款A(yù)PP：黑客還可以創(chuàng)建一個假冒手機(jī)網(wǎng)銀APP的惡意軟件，然后訪問用戶的支付賬號和財務(wù)數(shù)據(jù)。系統(tǒng)管理軟件也會存在同樣的問題，使得黑客能夠控制整個系統(tǒng)。

　　360手機(jī)安全專家申迪表示，該問題會影響到2010年1月發(fā)布的Android 2.1系統(tǒng)及更高版本，但最近的Android 4.4奇巧系統(tǒng)已經(jīng)修復(fù)了與Adobe有關(guān)的漏洞。不過仍然影響到部分4.4系統(tǒng)。這一影響覆蓋了超過九成以上的安卓手機(jī)用戶。

　　“該漏洞主要威脅之一是使用了webview(網(wǎng)頁瀏覽)組件的應(yīng)用存在隱私數(shù)據(jù)失竊、被惡意監(jiān)控的危害。另外就是攻擊者能靜默獲得NFC的控制權(quán)限，可能會對Google Wallet(谷歌錢包)這類的支付應(yīng)用產(chǎn)生威脅。雖然同是簽名相關(guān)的問題，這個漏洞與Master Key相比，危害要小一點。”申迪表示。

　　如何防范?申迪指出由于這種攻擊需要安裝惡意APK才會觸發(fā)，所以只要下載應(yīng)用通過360手機(jī)助手這樣的整個渠道下載APP，不讓手機(jī)感染利用該漏洞的惡意程序。