假設你下載了一隻最新、好玩、令你願意課金、但需要日本或美國 Google Play 才能下載的遊戲 apk 檔,安裝之後才發現,這個應用程式可能是假的。Bluebox Security 最近向公眾公開一個頗駭人的漏洞,能讓一個惡意程式假冒其他應用程式的簽名,從而在用戶安裝和啟動後入侵用戶的 Android 裝置,在技術上更可令黑客可以將責任推給其他開發者。所有系統介乎 Android 2.1-4.3 之間從 2010 年 1 月發佈的 Android 裝置都出現這個問題,令假 App 隨時充斥你的手機。
發現這個駭人漏洞的 Bluebox Security 指,每 Android 應用都有一個簽名。舉個例子,Google 自己開發的所有應用程式,都會以 Google 名義擁有同一個簽名,以顯示這個應用程式是這個開發者的,但是,Bluebox 向 Android 安裝和啟動一個偽造簽名的應用程式,Android 竟然未有核實該 ID 是否真實。換言之,黑客可以利偽造的 ID,開發一個惡意應用程式,以其他 App 的開發者名義提供 apk 下載,令手機受黑客操控之際,還可將責任推到其他開發者身上。損失個人資料事小,如果偽造的應用程式是涉及金錢,或手機內有支援電子錢包付款的應用程式的話,就有可能造成巨大財物損失。
唯一的解決方法,就是把 Android 手機升級到 Android 4.4,因為他們在今年三月把漏洞提交給 Google,而 Google 也在 Android 4.4 已將漏洞塞上,並以 Android 安全小組名義向手機製造商提供修復方法。
