趋势网(微博)讯:有“热带雨林的小狗”之称的Jeff Forristal的名字在7月初的时候就登上了世界各大 新闻 报纸的标题。他公开了可以控制所有的安卓设备的“万能密钥”漏洞的存在。
8月1日,Forristal在黑帽安全会议上解释了安卓密钥漏洞究竟是什么。根据Forristal所说,谷歌Android的JAR/ZIP/APK文件认证方式存在多个问题。
Forristal说因为漏洞是由多个系统问题构成的,所以叫“万能密钥”并不合适。正确的说法应该是允许绕过签名认证的攻击的“一系列的错误”。
据说Forristal是在处理安卓的谷歌地图有关程序的时候发现了这个漏洞。那么,万能密钥漏洞是谷歌之错吗?
这个问题的根本原因是安卓的ZIP解析器存在矛盾。安卓有8个文件解析器,但它们并不是由同一段源代码写成的。Forristal说:“由于安卓是多元体系,出现这样的错误是可以理解的。”
谷歌已经着手解决这个错误了,但补丁还没有到达每一个用户终端。比如说谷歌的Nexus智能机已经提供了这个漏洞补丁,但还不能通过OTA包接收升级。
正如安全专家多次指出的那样,安卓不通过智能机和提供者这两关是到达不了用户终端的。而且,由于安卓版本的分散化,提供补丁的时间也是一个问题。
Jeff Forristal
Forristal认为万能密钥漏洞的发现和围绕这个漏洞的一系列报道,其结果就是提高了安卓系统的安全性能。经过了这次的时间,更多的人开始关注这个人气高涨的操作系统的安全性,比以前更频繁的升级手头上使用的安卓设备。
他说:“这个漏洞引起了广泛关注,人们更加更加关心设备的安全性。对设备安全性能的提高是一件好事。”