近期媒体爆出谷歌市场上的索尼官方的备份与恢复应用“Backup and Restore”被黑的消息,这对于在中国市场节节败退的索尼手机来说无异于雪上加霜。近期,索尼预计全年智能手机出货量为4100万台,针对这些索尼手机的忠实用户,被黑的应用为什么可以安装升级?用户又该怎么样减少影响呢?阿里钱盾专家针对此次事件进行了深入分析,为索尼用户和其他安卓手机用户保障自身信息安全,网购安全出谋划策。
1. 为什么被黑的应用可以安装?甚至升级替换官方应用?
当前安卓应用安装过程中未对应用的自签名证书进行验证,从而使得被黑的索尼官方应用还能正常安装
如图所示红色部分,从待安装应用中提取的开发者证书,除了开发者证书公钥不能篡改之外,其它信息都可以被攻击者随意修改,包括证书序号、开发者名字、证书有效期等。而且修改之后,不会影响apk的安装、升级、运行等操作,其原因在于android系统只验证了数字签名,却没有验证用来生成数字签名的证书信息。因此攻击者可以轻而易举就可以改变应用的开发者姓名,证书信息等,能让用户进行正常应用升级成被黑应用。这一漏洞还可能造成知识版权问题,例如可以把Google开发的应用的开发者证书信息修改成攻击者的名字,扩大攻击者的影响力;或者攻击者把自己开发的恶意应用冠上Google的名字,博取用户信任。后者的风险非常大。
2. 最权威的市场也可能存在仿冒的应用
作为安卓手机最权威的官方应用市场,Google Play一直以来都是安卓应用市场中最安全的市场之一。但本次被黑应用上架的市场正是谷歌市场,可见其在审核的过程也存在漏洞。据此前阿里移动安全的研究分析,被黑和仿冒应用的风险普遍存在,有超过80%的热门应用都存在仿冒,且平均仿冒数量高达13个。若再将开发者信息的仿冒包含在内,仿冒应用的风险形式必将更加严峻。
在国内部分应用市场上,应用的开发者信息在应用查看,下载和安装的过程都不进行显示。且安卓手机上是否允许非官方应用市场来源的应用的选项往往是打开的。国内安卓的整体安全性更让人担忧。
3. 索尼官方应用怎样被黑?
针对索尼官方应用被黑,谷歌市场已经紧急下架该应用,由于目前找不到被黑应用,真正的攻击方式难以确认。经过阿里钱盾专家的分析,攻击者可能通过以下步骤进行攻击。首先攻击者将应用中的开发者信息修改,若掌握了索尼的私钥,攻击者就更可能修改了官方应用,甚至植入了恶意代码。之后攻击者还可能盗取了索尼的谷歌账号,利用这一账号来实现被黑应用的上架。
4. 应用不可信?用户应该如何是好?
虽然本次事件不一定会造成严重风险,但因为安卓应用安装的漏洞和安卓应用市场的不规范,导致不可信应用非常普遍,用户还是需要引起注意,阿里钱盾专家提醒大家:
a) 涉及账户,资金的应用如淘宝,支付宝,微信等尽量在官方网站进行应用下载。
b) 谨慎选择应用,并在手机上安装安全软件,防止自身信息的泄露。
c) 用户可以通过安装阿里钱盾,获得最重要的网购和资金安全保护。