Android新漏洞泄露敏感信息：影響近九成用戶

新浪科技訊 北京時間6月30日上午消息，IBM的研究人員發現，大約有86%的Android手機中都存在一個漏洞。黑客可能藉此獲取用戶的敏感信息，包括銀行服務和虛擬專用網絡(VPN)的密鑰，以及用於解鎖設備的PIN碼或圖形。

該漏洞位於Android KeyStore，這是Android系統的一個敏感區域，專門用於存儲密鑰和類似的身份信息。借助該漏洞，黑客可以通過執行惡意代碼來獲取用戶的敏感信息。研究人員稱，谷歌僅在Android 4.4奇巧系統中修補了這一漏洞，其余版本仍會受到該問題的影響。受影響的用戶在所有Android用戶中的占比大約為86.4%。

如果黑客想要成功利用這項漏洞，必須克服多項技術障礙。Android系統採用了現代化的軟件保護措施，包括數據執行預防模式，而且解決了空間佈局隨機化的問題。這兩項功能都會導致黑客執行惡意代碼的難度加大。

黑客還必須在受到這一漏洞影響的手機上安裝應用。不過，由於存在於Android最為敏感的KeyStore中，所以該漏洞十分嚴重。

美國萊斯大學計算機系教授、Android安全專家丹·沃雷克(Dan Wallach)解釋：“通常而言，應用都會將認證信息存儲在這裏，所以如果攻破了KeyStore，那麼當用戶的手機上有相應的應用時，你便可以假扮成手機用戶登錄該服務。至少也可以登錄能記住密碼的服務。這意味多數強迫你每次都要輸入密碼的銀行應用，或許在應對這一攻擊時相對比較安全。”

黑客可以利用該漏洞進入用戶的Twitter賬號發布垃圾信息，也可以竊取銀行存款。而如果他們盜取了用戶的VPN認證數據，則可以繞過防火墻展開各種攻擊。

安全公司viaForensics高級移動安全工程師保·奧利瓦(Pau Oliva)表示，該漏洞還會造成其他威脅，因為它將允許黑客接觸到執行敏感加密任務的Android資源。“利用這項漏洞，黑客可以假冒智能手機所有者生成RSA密鑰，併進行簽名和認證。”奧利瓦。

谷歌可能通過Bouncer服務為用戶提供額外的保護，但這一機制經常被黑客繞過。由此看來，經常利用Android設備從事資金交易和傳輸重要數據的用戶，最好還是在安裝應用時多加小心。在通過Google Play之外的其他渠道安裝應用時同樣應格外警惕。(書聿)