安卓用户，你们摊上大事了！

专家预测，下周或将初现漏洞攻击，国内99.9%用户暂“不设防”

该安全漏洞从Android 1.6以来就一直存在，凡近4年来的任何一款Android手机，都无法幸免。

国内技术专家还指出，谷歌软件更新走的是明文通信，一旦黑客通过流量劫持了某个应用，比如Gmail，就可以截获密码和账号，并推给用户一个木马更新包，如果这样，用户几乎铁定会中招。

7月8日下午，美国某黑客组织透露出该漏洞的一个关键技术细节，根据以往经验，攻击者可能在一两周内发起攻击。

7月3日，美国安全公司Bluebox Security发布公开声明称，发现Android系统重大安全漏洞，允许攻击者能将99%的应用程式转变成木马程序。数据显示，目前全球共有9亿多安卓用户，中国用户数超1亿，根据《IT时报》记者调查，几乎所有上述用户都对潜在的黑客攻击完全没有防范，也就是说一大半中国智能手机用户门户大开。

美安全公司披露可怕事实

Bluebox公司表示，黑客可在不改变应用密钥签名的情况下篡改 APK(安装包)代码，这意味着任何看似合法安全的应用均有可能内嵌有恶意代码。

根据Bluebox公司首席技术官Jeff Forristal的说法，通过漏洞，木马可以读取设备(Android)上任意手机应用的数据(电子邮件、短信、文档等)，获取保存在手机上的所有账号和密码，接管并控制手机的正常功能。

Jeff Forristal透露，今年2月已将这个漏洞交给谷歌公司，他将会在7月底召开的美国黑帽黑客大会上披露更多该漏洞技术细节。

情况到底有多糟？

“我们已经知道是怎么回事了，还在做最后的演示案例，验证后才能发布准确的信息。”安天实验室高级研究员肖梓航是国内第一时间研究该漏洞的技术专家之一，他向《IT时报》记者表示，国内技术界已基本掌握情况。

肖梓航进一步表示：“安卓所有软件层面的安全机制都是基于签名来做的，现在开发者身份可以完全被冒充，这等于从技术上把原有的安全机制都打破了。”

肖梓航向记者举了一个例子，例如某用户装了一个新浪微博，原来只有新浪官方才能发布有效更新安装包，而现在不法分子也可能利用漏洞，冒充新浪，让该用户安装带有木马的“假新浪微博更新包”。“以前这样是行不通的，原版软件会报错，但现在利用该漏洞就可以做到，而且手机用户完全觉察不到。”

“影响是非常大的。”肖梓航感叹，“用户手机里有大量账号服务密码，包括买手机时预装的服务，现在这些都可以被篡改，攻击者可以把你的账号和密码劫持下来，发回去，一切都是神不知鬼不觉。”

S4是唯一安全的安卓手机？

截至记者发稿，谷歌公司一直没有对此事表态和正面回应。根据Bluebox公司的声明，谷歌公司应该在今年2月已经收到该漏洞报告，难道谷歌5个月来一直无动于衷？

在新浪微博上，几乎所有针对此次Android漏洞门的微博中，网友都注意到一个细节并对此大肆调侃。由于Bluebox称，除了三星Galaxy S4之外的所有Android手机都有此漏洞，唯独S4已打上补丁，所以不少网友在微博评论和转发中调侃道，这是三星的“广告帖”、“Bluebox无节操”。

实则不然，根据一位OHA(由谷歌发起的开放手机联盟)国内厂商技术人士告诉记者，其实早在今年4月，谷歌就针对该漏洞向所有OHA联盟厂商发布了补丁，“我得知此事后，翻阅了历史记录，发现了谷歌确实在4月份发出过这则补丁。不过并没有引起我们的注意。”