发现该漏洞的Bluebox实验室将它称为Fake ID,这个漏洞可以追溯到2010年1月,来自Apache Harmony(现已解散)的代码被引入到Android平台。它影响着Android版本2.1到4.3;谷歌在4月的KitKat版本中修复了这个漏洞。然而,根据谷歌的报告显示,大约有82%的Android设备仍然在未修复该漏洞的平台运行。
该Android漏洞出现在当恶意应用程序使用受信任程序的ID时,即数字签名方面出了问题。在Bluebox的博客中,首席技术官Jeff Forristal使用Adobe系统为例:Adobe拥有自己的数字签名,并且来自Adobe的所有程序都是用基于该签名的ID。由于Android授予Adobe特权,使用Adobe ID的任何应用程序或程序都会绕过安全检查,并且本质上都是可信的。
通过使用ID假冒Adobe的应用程序可能会渗透到设备中,而且操作系统和用户不会感觉到任何异样。Forristal还指出了另外两个可能的危险情景,包括一个应用程序伪装成谷歌钱包的签名来访问设备的近场通信芯片来收集财务、支付和其他敏感用户数据,以及一个应用程序使用3LM软件的ID(现已解散的皮肤生产厂家)来控制设备和植入恶意软件。
这个问题不仅限于单个公司、应用程序或签名,在很多情况下,即使设备管理软件也可能上当,如果不及时更新的话。
在今年3月份,Bluebox将这个漏洞报告给了谷歌,谷歌在4月份迅速发布了补丁给制造商、Android合作伙伴和Android开源项目,制造商有90天时间来部署。谷歌还声称Google Aplay和Verify Apps的安全性已经被更新来检测该问题。谷歌在声明中指出:“现在,我们已经扫描了提交到Google Play的所有应用程序,以及谷歌从Google Play以外审查的程序,我们没有看到任何证据表明对该漏洞的利用。”
想要保护用户和BYOD员工免受Fake ID漏洞影响,企业在下载应用时需要做出明智的决策。仅下载Google Play商店中获批准的应用,永远不要使用来自不受信任来源的应用。更新版本的反恶意软件也应该能够检测到该漏洞。
为了缓解企业BYOD风险,安全部门应该使用应用程序白名单来批准受信任的应用;培训员工如何避免网络钓鱼攻击;使用具有应用缝隙的软件;并且,为了获得最高安全性,企业可以构建企业应用商店,其中提供企业认可的应用来供员工下载。
Bluebox还发布了Bluebox Security Scanner,这可以检测Fake ID漏洞。目前关于该漏洞是如何被发现的细节还没有公布,Forristal会在黑帽大会上公布调查结果。