7月5日消息，據(jù)國外媒體報(bào)道，安全公司Bluebox稱，幾乎所有的安卓手機(jī)都存在一個(gè)漏洞，這個(gè)漏洞可以允許黑客控制手機(jī)撥出電話，發(fā)送信息或者建立移動僵尸網(wǎng)絡(luò)。

該公司首席技術(shù)官福萊斯特稱，這個(gè)漏洞從安卓1.6（Donut）開始就一直存在，并且在過去四年內(nèi)發(fā)布的安卓設(shè)備，也就是99%的安卓設(shè)備都受到影響。

這個(gè)風(fēng)險(xiǎn)可能比福萊斯特所宣稱的小一些，因?yàn)楹诳捅仨毷顾麄兊膼阂廛浖韧ㄟ^谷歌在“谷歌游戲商店”所設(shè)下的防御，而且現(xiàn)在并沒有證據(jù)表明有人正在利用安卓的這個(gè)漏洞。

福萊斯特稱，這個(gè)漏洞利用了安卓應(yīng)用程序的加密驗(yàn)證方法的“差異”。

安卓系統(tǒng)的開發(fā)者規(guī)定被安裝的應(yīng)用程序必須有簽名證書，而這個(gè)證書的密鑰掌握在程序開發(fā)者手中。安卓系統(tǒng)使用這種簽名來判斷應(yīng)用程序代碼或者APK文件是否被干擾——任何沒有簽名證書的應(yīng)用程序都不會在用戶設(shè)備上被安裝或運(yùn)行。

這個(gè)簽名系統(tǒng)也意味著，任何被應(yīng)用程序儲存的敏感信息都只存在于擁有簽名密鑰的版本中。但安卓系統(tǒng)的漏洞意味著，一個(gè)黑客能夠在不破解簽名的情況下改變該應(yīng)用程序的代碼，這時(shí)安卓系統(tǒng)就會誤把這個(gè)應(yīng)用程序當(dāng)成是合法的。

福萊特斯稱，“根據(jù)應(yīng)用程序種類的不同，黑客可以利用這個(gè)漏洞偷竊數(shù)據(jù)，也可以建立一個(gè)移動僵尸網(wǎng)絡(luò)。”