專家預測，下周或將初現漏洞攻擊，國內99.9%用戶暫“不設防”

　　該安全漏洞從Android 1.6以來就一直存在，凡近4年來的任何一款Android手機，都無法幸免。

　　國內技術專家還指出，谷歌軟件更新走的是明文通信，一旦黑客通過流量劫持了某個應用，比如Gmail，就可以截獲密碼和賬號，并推給用戶一個木馬更新包，如果這樣，用戶幾乎鐵定會中招。

　　7月8日下午，美國某黑客組織透露出該漏洞的一個關鍵技術細節，根據以往經驗，攻擊者可能在一兩周內發起攻擊。

　　7月3日，美國安全公司Bluebox Security發布公開聲明稱，發現Android系統重大安全漏洞，允許攻擊者能將99%的應用程式轉變成木馬程序。數據顯示，目前全球共有9億多安卓用戶，中國用戶數超1億，根據《IT時報》記者調查，幾乎所有上述用戶都對潛在的黑客攻擊完全沒有防范，也就是說一大半中國智能手機用戶門戶大開。

　　美安全公司披露可怕事實

　　Bluebox公司表示，黑客可在不改變應用密鑰簽名的情況下篡改 APK(安裝包)代碼，這意味著任何看似合法安全的應用均有可能內嵌有惡意代碼。

　　根據Bluebox公司首席技術官Jeff Forristal的說法，通過漏洞，木馬可以讀取設備(Android)上任意手機應用的數據(電子郵件、短信、文檔等)，獲取保存在手機上的所有賬號和密碼，接管并控制手機的正常功能。

　　Jeff Forristal透露，今年2月已將這個漏洞交給谷歌公司，他將會在7月底召開的美國黑帽黑客大會上披露更多該漏洞技術細節。

　　情況到底有多糟?

　　“我們已經知道是怎么回事了，還在做最后的演示案例，驗證后才能發布準確的信息?！卑蔡鞂嶒炇腋呒壯芯繂T肖梓航是國內第一時間研究該漏洞的技術專家之一，他向《IT時報》記者表示，國內技術界已基本掌握情況。

　　肖梓航進一步表示：“安卓所有軟件層面的安全機制都是基于簽名來做的，現在開發者身份可以完全被冒充，這等于從技術上把原有的安全機制都打破了?！?/P>

　　肖梓航向記者舉了一個例子，例如某用戶裝了一個新浪微博，原來只有新浪官方才能發布有效更新安裝包，而現在不法分子也可能利用漏洞，冒充新浪，讓該用戶安裝帶有木馬的“假新浪微博更新包”?！耙郧斑@樣是行不通的，原版軟件會報錯，但現在利用該漏洞就可以做到，而且手機用戶完全覺察不到。”

　　“影響是非常大的?！毙よ骱礁袊@，“用戶手機里有大量賬號服務密碼，包括買手機時預裝的服務，現在這些都可以被篡改，攻擊者可以把你的賬號和密碼劫持下來，發回去，一切都是神不知鬼不覺?！?/P>

　　S4是唯一安全的安卓手機?

　　截至記者發稿，谷歌公司一直沒有對此事表態和正面回應。根據Bluebox公司的聲明，谷歌公司應該在今年2月已經收到該漏洞報告，難道谷歌5個月來一直無動于衷?

　　在新浪微博上，幾乎所有針對此次Android漏洞門的微博中，網友都注意到一個細節并對此大肆調侃。由于Bluebox稱，除了三星Galaxy S4之外的所有Android手機都有此漏洞，唯獨S4已打上補丁，所以不少網友在微博評論和轉發中調侃道，這是三星的“廣告帖”、“Bluebox無節操”。

　　實則不然，根據一位OHA(由谷歌發起的開放手機聯盟)國內廠商技術人士告訴記者，其實早在今年4月，谷歌就針對該漏洞向所有OHA聯盟廠商發布了補丁，“我得知此事后，翻閱了歷史記錄，發現了谷歌確實在4月份發出過這則補丁。不過并沒有引起我們的注意?！?/P>

　　上述技術人士告訴記者，之所以三星S4已經打上補丁，因為這是一款最新上市的手機，三星第一時間更新了軟件，國內廠商的反應還沒這么快。

　　最新安卓手機相對安全

　　如果從Bluebox公司7月3日發布報告算起，下周可能就將有黑手觸及該漏洞。這意味著，將有Android手機用戶中招，國內用戶的感染風險很大。

　　7月8日晚，全球最大的Android第三方編譯團隊CyanogenMod公布了針對該漏洞的補丁，這標志著，全球黑客已經基本掌握Bluebox公布的漏洞細節。

　　事實上，Jeff Forristal最擔心的就是亞洲和中國，他表示，因為該地區有 500 多個獨立的 Android 應用商店，這些應用商店很少或沒有對應用上架進行鑒權驗證的過程，這就使得木馬程序可能在這些網站上大面積上架。

　　移動技術專家Weir Zhang表示，可以預見，未來數月內OHA聯盟廠商如摩托羅拉、HTC、LG、索尼等發布的新機或將加上該補丁，而且谷歌應該也會在Google Play應用市場進行技術過濾，包含木馬的Android將無法上架。

　　另外，Weir Zhang透露，谷歌目前已將該漏洞補丁設為CTS(谷歌)兼容性測試終端認證的必過項，這證明新上市的大品牌安卓手機將是安全的，不過國內不少終端廠商并未參與谷歌的CTS認證?！八裕袊M者在購買山寨機和白牌機時需要特別小心，如果買到預裝木馬程序的手機，將造成很大損失?！?/P>

　　時報觀察

　　一個難以補上的漏洞

　　現在，擺在中國和全球Android用戶面前的難題是，發現漏洞了，該如何修補?就像發現了一個病毒，而且研制出了疫苗，但如何讓全球數億安卓用戶主動接種“疫苗”，將是個大問題。

　　哪些人是安全的?

　　除了三星Galaxy S4手機用戶之外，谷歌OHA廠商今后推出的新機都將是安全的，目前中國國內加入OHA聯盟的廠商有華為、中興、TCL、OPPO、聯想和海爾。同時，中國電信、移動和聯通也加入了該聯盟，這意味著未來三大運營商推出的定制安卓手機終端可能也將升級。

　　哪些人不安全?

　　除此之外，幾乎所有安卓手機和平板電腦用戶目前的系統都是不安全的，存在Bluebox公布的漏洞，值得慶幸的是，目前全球范圍內，還未發現黑客借助此漏洞攻擊用戶的案例。

　　但需要提醒的是，隨著時間推移，技術細節會被逐漸披露，黑色產業鏈也將知曉，而且該漏洞很容易被利用，迷惑性和危害性都很大。

　　安卓用戶如何防范?

　　Android系統與微軟Windows不同，Windows可以在一個統一平臺上自動聯網更新，但Android不行，用戶不能自動更新，必須等待硬件和手機廠商出臺補丁，然后再由用戶主動來打，這是在所有用戶中推廣補丁的最大難題。

　　目前三星、摩托羅拉、LG、華為等主流安卓手機制造商，都沒有在各自官方網站發布漏洞補丁程序，供用戶下載。因為在此之前，手機廠商沒有發布類似軟件升級補丁的慣例，同時，用戶更沒有登錄這些網站升級手機系統的習慣。這次的漏洞對于手機廠商和用戶來說都是頭一次遭遇。

　　當然，現有安卓手機用戶可以不為自己的手機打補丁，但必須做到一點，就是今后所有的Android應用都去Google Play官方市場下載，以保證安全。

　　潛在的風險在哪里?

　　目前來看，中國安卓用戶對該漏洞尚不知曉，更談不上防范，即便就算谷歌公布了補丁的下載地址，也難說會有多少用戶主動下載升級。中國手機用戶的安全意識還不健全。

　　在五花八門的第三方Android應用下載市場，在手機論壇的下載頻道，在山寨機的預裝程序中，在各種自主開發手機ROM中，木馬程序都可能滲入其中，為安卓手機用戶埋下“地雷”。