近日，CNCERT主辦的國家信息安全漏洞共享平臺   （CNVD）收錄了Android操作系統存在一個簽名驗證繞過的高危漏洞(編號：CNVD-2013-28152)。攻擊者利用該漏洞可以篡改合法應用程序的安裝文件并植入惡意代碼并繞過 Android系統數字簽名驗證，進而大規模傳播手機惡意程序，對廣大Android智能終端用戶構成威脅。具體情況如下：

    一、漏洞情況分析

    Android操作系統對應用程序安裝文件（ APK文件）采用一套數字簽名校驗機制來確認安裝文件的有效性和完整性，用于防范應用程序的篡改和偽造。根據測試情況，該套校驗機制存在不完全校驗設計缺陷，對應用程序安裝包內相同文件名的多個文件僅執行一次數字簽名驗證，驗證成功后就繼續執行后續文件安裝操作。攻擊者可以精心構造同名惡意代碼文件，使得應用程序既可通過Android系統的驗證又可將惡意代碼文件在安裝過程中替換原有正常文件。

    二、漏洞影響范圍

    CNVD對該漏洞的綜合評級為“高?！?。

    受該漏洞影響的Android系統版本包括Android 1.6至Android 4.2.2之間相關版本。CNCERT研判認為，隨著漏洞信息的逐步披露和擴散，有可能被利用發起惡意程序制造和傳播的大規模攻擊活動，嚴重威脅Android智能終端用戶安全。

    三、應對措施建議

    根據互聯網上公開報道稱，Android操作系統生產廠商――谷歌公司確認該漏洞的存在，但未公開漏洞的詳細信息。CNCERT在獲知漏洞情況后詢問了國內部分Android系統手機廠商，相關廠商尚未針對該漏洞采取技術應對措施。相關建議如下：

    （一）手機廠商可自行對待出廠產品采取一些臨時技術措施進行防范，同時對已售產品提供更新程序，以備用戶自行下載或在線完成系統更新。

    （二）應用商店應加強應用程序安全檢測，及時發現偽造合法簽名的惡意程序。按照工業和信息化部《移動互聯網惡意程序監測與處置機制》，配合CNCERT做好應用程序的鑒定和處置相關工作。

    （三）Android智能終端用戶需提高警惕，避免下載不明來源或未知簽名的應用程序，如發現應用程序存在惡意行為，請及時卸載并舉報。