Android的大部分设备和应用程序的漏洞允许恶意软件并妥协

攻击者可以伪装成可信任的开发者获得操作系统强大的特权，研究人员从BLUEBOX安全说 

目前使用的大多数Android设备中包含一个漏洞，允许恶意软件完全劫持安装的应用程序和它们的数据，甚至整个设备。 

核心问题是，Android的失败来验证公钥基础设施证书链的应用程序的数字签名，杰夫说Forristal，BLUEBOX安全，旧金山的公司，其研究人员发现问题的首席技术官。 

据谷歌的文档，Android应用程序必须以在OS上安装的签署，但数字证书用于签署他们并不需要通过数字证书颁发机构颁发。 “这是完全允许的，和典型，为Android应用程序使用自签名证书”的文件说。 

然而，Android的包含从几个开发商硬编码的证书，以便它可以给由操作系统里面那些开发特殊的访问和特权创建的应用程序，Forristal说。 

一个这样的证书属于Adobe和给人以签署的应用程序，或由它颁发的证书，代码转换成其他已安装的应用程序注入动力。 Forristal认为这种行为的存在是为了让其他应用程序使用Adobe的Flash播放器插件。 

一个典型的证书链验证过程将使用加密来检查链中的所有证书的签名的关系。证书链可以包含中间证书，因此该系统将通过验证开始，如果用来签署应用程序的证书是由链中的下一个证书确实签署。然后，将验证该证书是否由下一个签名，依此类推，直到到达受信任的Adobe证书。 

据Forristal，Android不这样做，因此攻击者可以出现由硬编码的Adobe证书进行签名的证书签名恶意应用程序，但实际上并非如此。只要Adobe的证书存在于应用程序的证书链，系统将代码从应用程序并注入到其他已安装的应用程序，Forristal说。 

被注入的代码基本上成为其他应用程序的一部分，继承他们的权限。它可以访问那些应用程序存储的所有数据，它可以看到他们的网络流量，并可以执行这些应用程序被授权的设备上执行的所有动作，他说。 

这种攻击只能用来劫持使用上早于4.4，称为奇巧的Android版本的WebView组件的应用程序。 WebView中是常用的应用程序使用内置到Android的浏览器引擎来显示网页内容的功能。 

在Android中奇巧，web视图组件是基于铬的开源浏览器，并不再支持这个插件代码注入，Forristal说。 

即便如此，攻击影响了大量用户。据从7月开始，大约88％的使用谷歌播放年纪比4.4运行Android版本设备的谷歌的统计数据。 

“这是非常，非常容易让恶意软件使用这种攻击 - 它是无声的，透明的，对用户没有任何通知，”Forristal说。恶意应用程序不需要任何特殊权限。它只是需要包含的WebView代码在它的内部，它可以在安装后实际下载，他说。 

滥用Adobe的证书也并不是唯一可能的攻击媒介，因为Android已经是授予应用程序的特殊访问至少两个硬编码证书。 

一个是由一家名为3LM，是由摩托罗拉移动在2011年初收购了，之前谷歌收购摩托罗拉移动开发的移动设备管理技术证书。 

该3LM设备管理扩展不是Android开源项目（AOSP）的一部分，但包含在被生产和发运索尼的各种设备，HTC，摩托罗拉，三星，LG和其他几个较小的制造商，Forristal说。 

在其证书链中的3LM证书的任何应用程序可以使用设备管理扩展静默安装新的应用程序，更改系统设置和获取设备的控制，他说。 

最后，第三个硬编码的证书使用谷歌钱包，并提供对基于硬件的NFC（近场通信），这是用来支付处理过程中存储，如信用卡号等敏感信息的安全元素。 

在BLUEBOX安全研究人员没有时间详细分析这个攻击向量的影响，但其存在本身可能违反了为NFC安全元件的Android安全模型，Forristal说。 

证书链验证漏洞，这BLUEBOX叫了假身份证，据报道，谷歌在四月和补丁提供给设备制造商，根据Forristal。 

“接到此漏洞字后，我们迅速下达已分发到Android合作伙伴补丁，以及为AOSP，”谷歌的代表周二通过电子邮件说。 “谷歌发挥和验证的应用程序也得到了增强，以保护用户免受这一问题。在这个时候，我们已经扫描提交到谷歌播放以及那些谷歌已经从谷歌播放审阅以外的所有应用程序，我们没有看到任何证据的企图利用此漏洞。“

摩托罗拉已经发布了补丁的一些设备和更多的厂商的更新可能会在未来几周内做同样的，Forristal说。 

然而，由于Android生态系统的碎片化，更新可用性和交付不同的制造商和运营商之间会大相径庭。一些受影响的设备是最有可能甚至不支持了，绝不会接受一个补丁这个问题。 

BLUEBOX已经发布了一个免费的应用程序，可以检查设备是否易受假身份证的攻击。 

Forristal计划在演示期间在拉斯维加斯举行的黑帽安全大会下周将详细讨论的漏洞。