CNTXJ.NET | 通信界-中国通信门户 | 通信圈 | 通信家 | 下载吧 | 说吧 | 人物 | 前瞻 | 智慧(区块链 | AI
 国际新闻 | 国内新闻 | 运营动态 | 市场动态 | 信息安全 | 通信电源 | 网络融合 | 通信测试 | 通信终端 | 通信政策
 专网通信 | 交换技术 | 视频通信 | 接入技术 | 无线通信 | 通信线缆 | 互联网络 | 数据通信 | 通信视界 | 通信前沿
 智能电网 | 虚拟现实 | 人工智能 | 自动化 | 光通信 | IT | 6G | 烽火 | FTTH | IPTV | NGN | 知本院 | 通信会展
您现在的位置: 通信界 >> 市场动态 >> 对话正文
 
Android漏洞允许应用程序伪装加剧BYOD风险
[ 通信界 | TechTarget中国 | www.cntxj.net | 2014/8/5 15:28:00 ]
 

  Android设备中的“Fake ID”漏洞允许恶意应用程序伪装成可信任的程序,使机密数据面临风险,同时加剧了BYOD安全问题。

  谷歌Android “Fake ID”漏洞允许攻击者将恶意应用程序伪装成可信任的程序,使得数百万智能手机和平板电脑用户的敏感信息处于威胁之中,并瞬时提升了大家对“有效应对BYOD风险”的关注。

  发现该漏洞的Bluebox实验室将它称为Fake ID,这个漏洞可以追溯到2010年1月,来自Apache Harmony(现已解散)的代码被引入到Android平台。它影响着Android版本2.1到4.3;谷歌在4月的KitKat版本中修复了这个漏洞。然而,根据谷歌的报告显示,大约有82%的Android设备仍然在未修复该漏洞的平台运行。

  该 Android漏洞出现在当恶意应用程序使用受信任程序的ID时,即数字签名方面出了问题。在Bluebox的博客中,首席技术官Jeff Forristal使用Adobe系统为例:Adobe拥有自己的数字签名,并且来自Adobe的所有程序都是用基于该签名的ID。由于Android授予Adobe特权,使用Adobe ID的任何应用程序或程序都会绕过安全检查,并且本质上都是可信的。

  通过使用ID假冒Adobe的应用程序可能会渗透到设备中,而且操作系统和用户不会感觉到任何异样。Forristal还指出了另外两个可能的危险情景,包括一个应用程序伪装成谷歌钱包的签名来访问设备的近场通信芯片来收集财务、支付和其他敏感用户数据,以及一个应用程序使用3LM软件的ID(现已解散的皮肤生产厂家)来控制设备和植入恶意软件。

  这个问题不仅限于单个公司、应用程序或签名,在很多情况下,即使设备管理软件也可能上当,如果不及时更新的话。

  在今年3月份,Bluebox将这个漏洞报告给了谷歌,谷歌在4月份迅速发布了补丁给制造商、Android合作伙伴和 Android开源项目,制造商有 90天时间来部署。谷歌还声称Google Aplay和Verify Apps的安全性已经被更新来检测该问题。谷歌在声明中指出:“现在,我们已经扫描了提交到Google Play的所有应用程序,以及谷歌从Google Play以外审查的程序,我们没有看到任何证据表明对该漏洞的利用。”

  想要保护用户和BYOD员工免受Fake ID漏洞影响,企业在下载应用时需要做出明智的决策。仅下载Google Play商店中获批准的应用,永远不要使用来自不受信任来源的应用。更新版本的反恶意软件也应该能够检测到该漏洞。

  为了缓解企业BYOD风险,安全部门应该使用应用程序白名单来批准受信任的应用;培训员工如何避免网络钓鱼攻击;使用具有应用缝隙的软件;并且,为了获得最高安全性,企业可以构建企业应用商店,其中提供企业认可的应用来供员工下载。

  Bluebox还发布了Bluebox Security Scanner,这可以检测Fake ID漏洞。目前关于该漏洞是如何被发现的细节还没有公布,Forristal会在黑帽大会上公布调查结果。

 

1作者:TechTarget中国 来源:通信界 编辑:顾北

 

声明:①凡本网注明“来源:通信界”的内容,版权均属于通信界,未经允许禁止转载、摘编,违者必究。经授权可转载,须保持转载文章、图像、音视频的完整性,并完整标注作者信息并注明“来源:通信界”。②凡本网注明“来源:XXX(非通信界)”的内容,均转载自其它媒体,转载目的在于传递更多行业信息,仅代表作者本人观点,与本网无关。本网对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。③如因内容涉及版权和其它问题,请自发布之日起30日内与本网联系,我们将在第一时间删除内容。 
热点动态
普通新闻 2026中国信息通信业发展高层论坛在京举办
普通新闻 快手遭腾讯百亿元减持,称不会对营运产生任何重大不利影响
普通新闻 最高99万买的仿生机器人,续航仅2-4小时?公司回应
普通新闻 巨头开始卖算力,打开了什么魔盒
普通新闻 我带着1080克的三代酷睿Ultra轻薄本进山两天 但是没带充电器
普通新闻 轻盈随行,性能越级!英特尔酷睿 Ultra 5 325+4Xe 激活轻薄本新潜力
普通新闻 被遗忘的Panther Lake“小”芯片,可能更适合追求性价比的你…
普通新闻 雪山脚下搞创作,一台AI轻薄本真的扛得住吗?
普通新闻 与酷睿Ultra 5 325的丽江行,1kg轻薄本很流畅,1整天续航很酸爽
普通新闻 索尼亮相2026上海国际低碳智慧出行展,以创新科技打造车载醇音典范
普通新闻 英国电话卡选哪个运营商?中国移动CMLink一站式通信生态的深度剖析
普通新闻 全能的338H/358H/388H轻薄本不便宜?Ultra 5 325或是新答案
普通新闻 轻薄本,正在悄悄改写我对 PC 的所有想象
普通新闻 海回科技 1.6T 测试仪荣膺 2026 年度光通信「最具影响力产品」大奖
普通新闻 地芯科技MWC上海2026圆满收官,以自研高端模拟射频芯片全景赋能空天
普通新闻 2026MWC上海开幕,中国移动以“移动智能 无界普惠”主题参展
普通新闻 数智普惠 一步到位 | 华为极简全闪数据中心2.0存储商业峰会-暨大附
普通新闻 诺贝尔经济学奖得主:马斯克本质上是真人版庞氏骗局
普通新闻 外媒曝蚂蚁集团正秘密测试AI 版支付宝
普通新闻 谷歌 CEO 皮查伊斯坦福毕业演讲避谈 AI,鼓励毕业生“选择乐观”
通信视界
小米卢伟冰:小米手机Q1拿下中国市场“双第一
普通对话 517电信日 | 鼎桥CEO邓飚:以科技铸魂强复原
普通对话 科大讯飞与奇瑞成立祺声科技公司 注册资本3
普通对话 得物发全员信:提高绩效奖金,A+级绩效提升
普通对话 小米卢伟冰:小米手机Q1拿下中国市场“双第
普通对话 银光耀:聚焦行业现状,助推半导体行业加速
普通对话 6G进展如何?离我们还有多远?独家专访6G推
普通对话 5G赋能千行百业.专家谈|GSMA大中华区公共政
普通对话 巾帼不让须眉!且看高质量信息科技背后的智
普通对话 我国科学家研制出世界首款类脑互补视觉芯片
普通对话 李彦宏:不断地重复开发基础大模型是对社会
通信前瞻
我国实现“县县通千兆、乡乡通5G”
普通对话 张凯:以课题研究破题工业数字化转型,为行
普通对话 卫星互联网建设提速 产业链竞相布局
普通对话 确认了!王者荣耀与《哪吒之魔童闹海》联动
普通对话 记者调查:客服电话转人工,咋越来越难了?
普通对话 安徽推动新型信息基础设施协调发展
普通对话 我国实现“县县通千兆、乡乡通5G”
普通对话 “百模大战”中,工业大模型如何闯出“新天
普通对话 经济聚焦·访智能制造 解行业痛点
普通对话 60秒解锁“北斗+”“+北斗”
普通对话 需求激增 算力基础设施加快落地
普通对话 我国国产首颗全电推通信卫星亚太6E卫星成功
普通对话 SpaceX离第四次发射星际飞船又近一步
普通对话 哈勃望远镜步入暮年,陀螺仪仅剩2个,NASA打
普通对话 顶层设计完善 智慧城市建设开足马力
普通对话 中央企业智能算力规模加速增长
推荐阅读
Copyright @ Cntxj.Net All Right Reserved 通信界 版权所有
未经书面许可,禁止转载、摘编、复制、镜像