阿里錢盾安全專家提醒：Google Play也可能存仿冒應(yīng)用

近期媒體爆出谷歌市場上的索尼官方的備份與恢復(fù)應(yīng)用“Backup and Restore”被黑的消息，這對于在中國市場節(jié)節(jié)敗退的索尼手機(jī)來說無異于雪上加霜。近期，索尼預(yù)計(jì)全年智能手機(jī)出貨量為4100萬臺，針對這些索尼手機(jī)的忠實(shí)用戶，被黑的應(yīng)用為什么可以安裝升級？用戶又該怎么樣減少影響呢？ 阿里錢盾專家針對此次事件進(jìn)行了深入分析，為索尼用戶和其他安卓手機(jī)用戶保障自身信息安全，網(wǎng)購安全出謀劃策。

1. 為什么被黑的應(yīng)用可以安裝？甚至升級替換官方應(yīng)用？

當(dāng)前安卓應(yīng)用安裝過程中未對應(yīng)用的自簽名證書進(jìn)行驗(yàn)證，從而使得被黑的索尼官方應(yīng)用還能正常安裝

如圖所示紅色部分，從待安裝應(yīng)用中提取的開發(fā)者證書，除了開發(fā)者證書公鑰不能篡改之外，其它信息都可以被攻擊者隨意修改，包括證書序號、開發(fā)者名字、證書有效期等。而且修改之后，不會影響apk的安裝、升級、運(yùn)行等操作，其原因在于android系統(tǒng)只驗(yàn)證了數(shù)字簽名，卻沒有驗(yàn)證用來生成數(shù)字簽名的證書信息。因此攻擊者可以輕而易舉就可以改變應(yīng)用的開發(fā)者姓名，證書信息等，能讓用戶進(jìn)行正常應(yīng)用升級成被黑應(yīng)用。這一漏洞還可能造成知識版權(quán)問題，例如可以把Google開發(fā)的應(yīng)用的開發(fā)者證書信息修改成攻擊者的名字，擴(kuò)大攻擊者的影響力；或者攻擊者把自己開發(fā)的惡意應(yīng)用冠上Google的名字，博取用戶信任。后者的風(fēng)險(xiǎn)非常大。

2. 最權(quán)威的市場也可能存在仿冒的應(yīng)用

作為安卓手機(jī)最權(quán)威的官方應(yīng)用市場，Google Play一直以來都是安卓應(yīng)用市場中最安全的市場之一。但本次被黑應(yīng)用上架的市場正是谷歌市場，可見其在審核的過程也存在漏洞。據(jù)此前阿里移動安全的研究分析，被黑和仿冒應(yīng)用的風(fēng)險(xiǎn)普遍存在，有超過80%的熱門應(yīng)用都存在仿冒，且平均仿冒數(shù)量高達(dá)13個。若再將開發(fā)者信息的仿冒包含在內(nèi)，仿冒應(yīng)用的風(fēng)險(xiǎn)形式必將更加嚴(yán)峻。

在國內(nèi)部分應(yīng)用市場上，應(yīng)用的開發(fā)者信息在應(yīng)用查看，下載和安裝的過程都不進(jìn)行顯示。且安卓手機(jī)上是否允許非官方應(yīng)用市場來源的應(yīng)用的選項(xiàng)往往是打開的。國內(nèi)安卓的整體安全性更讓人擔(dān)憂。

3. 索尼官方應(yīng)用怎樣被黑？

針對索尼官方應(yīng)用被黑，谷歌市場已經(jīng)緊急下架該應(yīng)用，由于目前找不到被黑應(yīng)用，真正的攻擊方式難以確認(rèn)。經(jīng)過阿里錢盾專家的分析，攻擊者可能通過以下步驟進(jìn)行攻擊。首先攻擊者將應(yīng)用中的開發(fā)者信息修改，若掌握了索尼的私鑰，攻擊者就更可能修改了官方應(yīng)用，甚至植入了惡意代碼。之后攻擊者還可能盜取了索尼的谷歌賬號，利用這一賬號來實(shí)現(xiàn)被黑應(yīng)用的上架。

4. 應(yīng)用不可信？用戶應(yīng)該如何是好？

雖然本次事件不一定會造成嚴(yán)重風(fēng)險(xiǎn)，但因?yàn)榘沧繎?yīng)用安裝的漏洞和安卓應(yīng)用市場的不規(guī)范，導(dǎo)致不可信應(yīng)用非常普遍，用戶還是需要引起注意，阿里錢盾專家提醒大家：

a)     涉及賬戶，資金的應(yīng)用如淘寶，支付寶，微信等盡量在官方網(wǎng)站進(jìn)行應(yīng)用下載。

b)     謹(jǐn)慎選擇應(yīng)用，并在手機(jī)上安裝安全軟件，防止自身信息的泄露。

c)      用戶可以通過安裝阿里錢盾，獲得最重要的網(wǎng)購和資金安全保護(hù)。