Check Point 的研究员在 Black Hat conference 上展示了一系列出现在智能设备、汽车和滑板的 Android 安全性漏洞。其中名为 Certifi-gate 的漏洞更是在所有 OEM 厂商的设备中都有出现,它让第三方程序插件通过 Remote Support 得到存取权限,控制设备的屏幕和使用 OEM 发出的授权证书。
这漏洞可让恶意骇客可以看到使用者的操作,什至直接控制智能设备。根据研究员的说法,作为使用者是无法让授权证书失效。Check Point 提及到 LG、三星、HTC 和中兴都有对这 Certifi-gate 漏洞作出修复,减轻影响,而谷歌旗下的 Nexus 设备则未受波及。
Check Point 的负责发堀移动设备危险的技术领导人物 Avi Bashan 跟主站透露,此漏洞是源自 Android 的安全结构问题,以及 OEM 们所开发的遥距控制工具让这漏洞被揭露。Bashan 更提到因为 Android 设备的更新周期相距太长,这些严重的漏洞未必能在短期内被完全修补,所以更是危险。
三星对于 Certifi-gate 漏洞发出了以下的声明:「三星明白到他们的成功来自消费者的信任,以及所提供产品和服务。我们会密切留意 Check Point 的发现,公司也会认清问题的所在。三星建议使用者不要使用不安全的应用程序。」
谷歌发言人对我们表示说,他们感谢研究员发现并报知漏洞的存在,指这漏洞是来自 OEM 们定制化 Android 设备时所出现的,也认为他们将会提供解决问题的更新。一如三星的声明,谷歌也建议 Android 使用者要从可信的来源取得应用程序(例如 Google Play),因为设备会被漏洞影响是因为使用者安装了有问题的应用程序。对此。Google 亦会继续以 VerifyApps 和 Safety Net 检查监控的。
对此,Bashan 倒是认为这类有问题的应用程序也可以伪装为完全无害,并上架至 Google Play,在打开时就会把有关的插件启动。所以他还是建议由 OEM 尽快提供系统更新,并且不要自行安装 APK 至手机上。
有兴趣深入瞭解的朋友,Check Point 对于 Cerifi-gate 发布了完整的报告,并有提供免费的应用程序,可以考虑体检一下自己的设备。
推荐阅读:汉中百姓网