?

　　發(fā)現(xiàn)該漏洞的Bluebox實(shí)驗(yàn)室將它稱為Fake ID，這個(gè)漏洞可以追溯到2010年1月，來(lái)自Apache Harmony(現(xiàn)已解散)的代碼被引入到Android平臺(tái)。它影響著Android版本2.1到4.3;谷歌在4月的KitKat版本中修復(fù)了這個(gè)漏洞。然而，根據(jù)谷歌的報(bào)告顯示，大約有82%的Android設(shè)備仍然在未修復(fù)該漏洞的平臺(tái)運(yùn)行。

?

　　該Android漏洞出現(xiàn)在當(dāng)惡意應(yīng)用程序使用受信任程序的ID時(shí)，即數(shù)字簽名方面出了問(wèn)題。在Bluebox的博客中，首席技術(shù)官Jeff Forristal使用Adobe系統(tǒng)為例：Adobe擁有自己的數(shù)字簽名，并且來(lái)自Adobe的所有程序都是用基于該簽名的ID。由于Android授予Adobe特權(quán)，使用Adobe ID的任何應(yīng)用程序或程序都會(huì)繞過(guò)安全檢查，并且本質(zhì)上都是可信的。

?

　　通過(guò)使用ID假冒Adobe的應(yīng)用程序可能會(huì)滲透到設(shè)備中，而且操作系統(tǒng)和用戶不會(huì)感覺(jué)到任何異樣。Forristal還指出了另外兩個(gè)可能的危險(xiǎn)情景，包括一個(gè)應(yīng)用程序偽裝成谷歌錢包的簽名來(lái)訪問(wèn)設(shè)備的近場(chǎng)通信芯片來(lái)收集財(cái)務(wù)、支付和其他敏感用戶數(shù)據(jù)，以及一個(gè)應(yīng)用程序使用3LM軟件的ID(現(xiàn)已解散的皮膚生產(chǎn)廠家)來(lái)控制設(shè)備和植入惡意軟件。

?

　　這個(gè)問(wèn)題不僅限于單個(gè)公司、應(yīng)用程序或簽名，在很多情況下，即使設(shè)備管理軟件也可能上當(dāng)，如果不及時(shí)更新的話。

?

　　在今年3月份，Bluebox將這個(gè)漏洞報(bào)告給了谷歌，谷歌在4月份迅速發(fā)布了補(bǔ)丁給制造商、Android合作伙伴和Android開(kāi)源項(xiàng)目，制造商有90天時(shí)間來(lái)部署。谷歌還聲稱Google Aplay和Verify Apps的安全性已經(jīng)被更新來(lái)檢測(cè)該問(wèn)題。谷歌在聲明中指出：“現(xiàn)在，我們已經(jīng)掃描了提交到Google Play的所有應(yīng)用程序，以及谷歌從Google Play以外審查的程序，我們沒(méi)有看到任何證據(jù)表明對(duì)該漏洞的利用。”

?

　　想要保護(hù)用戶和BYOD員工免受Fake ID漏洞影響，企業(yè)在下載應(yīng)用時(shí)需要做出明智的決策。僅下載Google Play商店中獲批準(zhǔn)的應(yīng)用，永遠(yuǎn)不要使用來(lái)自不受信任來(lái)源的應(yīng)用。更新版本的反惡意軟件也應(yīng)該能夠檢測(cè)到該漏洞。

?

　　為了緩解企業(yè)BYOD風(fēng)險(xiǎn)，安全部門應(yīng)該使用應(yīng)用程序白名單來(lái)批準(zhǔn)受信任的應(yīng)用;培訓(xùn)員工如何避免網(wǎng)絡(luò)釣魚攻擊;使用具有應(yīng)用縫隙的軟件;并且，為了獲得最高安全性，企業(yè)可以構(gòu)建企業(yè)應(yīng)用商店，其中提供企業(yè)認(rèn)可的應(yīng)用來(lái)供員工下載。

?

　　Bluebox還發(fā)布了Bluebox Security Scanner，這可以檢測(cè)Fake ID漏洞。目前關(guān)于該漏洞是如何被發(fā)現(xiàn)的細(xì)節(jié)還沒(méi)有公布，F(xiàn)orristal會(huì)在黑帽大會(huì)上公布調(diào)查結(jié)果。

?