漏洞百出，黑客可控制99%的Android手机

移动安全公司Bluebox今天宣布发现一个Android漏洞，通过这个漏洞黑客可以入侵最近四年来发布的所有Android设备，读取用户数据、密码并控制所有手机功能，包括发送短信、打电话甚至打开摄像头。

而根据Google五月份发布的官方统计，目前全球共有约9亿台Android设备，仅今年4月份一个月Android应用的安装量就高达25亿次。Bluebox的首席技术官Jeff Forristal在博客中称：

通过Android手机的漏洞，木马软件能够强制读取设备上的各种应用数据（邮件、短信、文档等），获取所有账户和服务密码，并接管和控制手机的所有功能。

Bluebox发现Android应用的审核和确认流程中存在漏洞，黑客可以篡改应用的代码而无需更换应用的加密签名。这意味着任何一个Android应用，无论是否通过官方应用商店的审核上架，都有可能藏有恶意代码。

Forristal表示该漏洞的细节早在今年2月份就已经上报Google。但问题在于，Android存在高度碎片化的问题，不同的设备制造商和移动运营商各自为政，在应用更新上毫无规律可循，很多Android设备都没有更新到最新的软件版本，甚至用户自己也无法更新。

Forristal表示Android的安全问题在亚洲和东方国家更为严重，这些地区存在超过500个独立的第三方Android应用市场，大部分都没有足够的认证或确认流程来确保上架应用的合法性。

近年来Google忙于扩张Android生态系统和市场份额，虽然包括赛门铁克和趋势科技在内的多家网络安全公司不止一次指出Android应用的安全状况急剧恶化，根据Juniper上月发布的报告，大量第三方应用市场已经成为病毒温床，目前能够窃取手机用户隐私数据的Android木马和恶意软件的数量已经超过25万个（占所有平台手机恶意软件总数的92%），同比增长614%！但是Google迄今都未作出任何有效回应。

参考阅读：安全性堪忧，1.85亿Android用户隐私数据面临威胁

对于普通用户来说，无法升级系统的手机在安装应用时需要格外警惕，务必必要确认清楚应用的发行商，此外严格从Google Play官方应用商店下载应用也是重要防护措施，迄今Google Play的应用审核依然是最严格的。

鉴于目前大量所谓合法应用也存在侵犯个人信息隐私的流氓行为（6%的免费Android应用是流氓广告软件），IT经理网建议广大Android手机用户尽快安装Android安全软件，参考：五大免费Android安全软件评测，和二十款最佳Android/iPhone安全防护应用。