谷歌建议用户确保运行的是最新版本的android设备
根据谷歌最近发布的一条消息,黑客和“恶意内部人员”已经能够泄露几个Android制造商用来签署Android设备上使用的系统应用程序的平台签名密钥。这些签名密钥用于保证应用程序甚至手机上运行的Android操作系统版本的合法性。#Android#
(资料图片仅供参考)
长期存在的漏洞影响了LG、三星和其他Android相关制造商
控制这些密钥的不良行为者可能会在系统级别上让Android“信任”载有恶意软件的应用程序。这就像在用户同意的情况下将家和汽车的钥匙交给小偷一样。易受攻击设备上的所有数据都可能面临风险。其中一些密钥用于签署从Play商店安装或从其他Android应用程序店面加载的常规应用程序。
虽然尚未确定泄露密钥的所有来源,但已点名的公司包括:
三星
LG
联发科技
Szroco(生产沃尔玛Onn平板电脑的公司)
谷歌表示,该漏洞是在今年5月向其报告的,相关公司已“采取补救措施,将对用户的影响降至最低”。不完全是“全部清除”标志,特别是考虑到APKMirror最近在三星的Android应用程序中发现了一些易受攻击的签名密钥的消息。
谷歌在一份声明中表示,Android用户通过GooglePlayStoreProtect功能以及制造商采取的行动受到保护。谷歌表示,该漏洞利用不会影响从Play商店下载的任何应用程序。
谷歌发言人表示:“我们一报告关键漏洞,OEM合作伙伴就立即采取了缓解措施。最终用户将受到OEM合作伙伴实施的用户缓解措施的保护。谷歌已经在BuildTestSuite中对恶意软件进行了广泛检测,该套件扫描系统“图像。GooglePlayProtect也检测到恶意软件。没有迹象表明此恶意软件存在于或曾经存在于GooglePlay商店中。我们建议用户确保运行的是最新版本的Android。”
用户需要做什么
谷歌建议相关公司交换当前使用的签名密钥,并停止使用泄露的密钥。它还建议每家公司发起调查以了解密钥是如何泄露的。希望这能防止类似的事情在未来再次发生。谷歌还建议公司对最少数量的应用程序使用singingkeys,以减少未来潜在泄漏的数量。
那么,作为可能受影响的Android手机的所有者,我们能做些什么呢?确保手机运行的是最新版本的Android,并在所有安全更新到达后立即安装。Android用户应避免侧载应用程序,主要是安装来自第三方应用程序店面的应用程序时。
这个漏洞已经存在多年。三星称非常重视Galaxy设备的安全性,自2016年得知该问题后就发布了安全补丁,目前还没有发生过与此相关的已知安全事件潜在的漏洞。始终建议用户使用最新的软件更新使设备保持最新状态。
标签: 最新版本