資安盛會Black Hat USA 2013即將於7月底展開,行動安全公司Bluebox Security表示,將在黑帽大會上展示最新發現的Android漏洞Master Key,此漏洞讓駭客可以將任何合法APP轉變成惡意的木馬程式,用以竊取行動裝置上的資料,甚至進一步取得裝置的控制權。
Bluebox技術長Jeff Forristal於7/5發文指出,Master Key從Android 1.6就已經存在,相當於已經存在4年之久,評估高達99%的Android裝置都受到該漏洞的影響。一般來說,行動裝置在第一次安裝APP時,Android會同時記錄其數位加密簽章,日後APP要更新時,必須通過原始作者的加密簽章,以確保APP未經竄改,不過,Bluebox Security發現的漏洞Master Key,讓駭客可以繞過簽章認證機制,直接更改應用程式碼,以誘騙使用者安裝含惡意程式的偽造更新。
Jeff Forristal進一步解釋,如果遭竄改的是系統應用程式,如預先載入行動裝置上的應用程式,那麼此惡意程式碼就可任意讀取裝置上的資料,包括email、簡訊、文件等,並取得儲存的帳號和密碼,此外還能取得該裝置的控制權,比如撥打電話、任意發送警訊、拍照以及記錄對話。
在Jeff Forristal發文後5天,也就是7/10,又有另外一組安全研究人員發現一個類似Master Key的漏洞,駭客同樣在不破解簽章的情況下,就能修改原APK(Android Package),雖然原理跟Master Key有些不同,但可以達到相同效果。
Bluebox Security指出,他們已經在今年2月向Google通報此漏洞,而Google的Android經理Gina Scigliano則在7/8時表示,Google的安全掃描工具並未在Google Play或其他APP商店上發現此漏洞被使用的情形,而且Google已經提供Master Key的修補程式給OEM製造商,讓使用者可進行更新,第二個漏洞的修補工具也已釋出,因此用戶無需太過擔心。
除了Google提供的修補程式外,Bluebox Security在7/9時也釋出一個免費的掃描應用程式Bluebox Security Scanner,可用來偵測Android裝置上的Master Key漏洞是否已經被修補,及掃描裝置是否安裝了利用該漏洞的惡意程式。
Bluebox Security建議,用戶在下載APP時必需更加留意發行來源,對於已經落實攜帶自有裝置(BYOD)的企業來說,則要促使所有使用者更新他們的裝置,並強調讓系統處於最新版本的重要性,對IT部門而言,該漏洞不僅是行動裝置上的管理問題,更是資料外洩缺口,惟有採取更深入的設備完整性檢查,才能確保企業的資料安全。