【中国品牌总网行业资讯】7月25日电（王若涵）   据美国科技网站InfoWorld称，网络罪犯正利用最新发现的Master Key漏洞，使合法的安卓应用感染恶意代码，而无需使数字签名无效从而达到目的。

    据悉，这些代码可以使攻击者远程操控被感染的设备，窃取隐私数据、发送文本，以及通过root指令禁用安全应用。

    早前，美国网络安全解决方案供应商McAfee报告称，安卓平台被列为网络罪犯热衷的移动操作系统攻击对象。近日，网络安全公司Kindsight称，日益增加的安卓设备已经被恶意软件侵蚀，正是这些软件使设备变成了间谍工具。

    网络罪犯正在利用安卓系统的Master Key漏洞，使合法的安卓应用感染恶意代码，而无需使数字签名无效。“借助漏洞，攻击者通过增加一个classes.edx文件（文件中含有安卓系统代码）已经修改了安卓初始应用，同时也增加一个AndroidManifest.xml文件（它可以指定运行程序代码）。”网络安全解决方案商Symantec如此解释。

    这一方法体现了恶意代码感染方面的演变：之前，攻击者需要改变“应用和发布者名字，同时在感染木马病毒的应用上签注自己的数字签名。检查应用细节的人可以立即发现这些应用并非出自于合法的发布者。”Symantec在本月初如是说。“既然攻击者现在无需改变数字签名细节了，他们可以自由劫持合法应用，甚至专业人员也无法辨认出一个应用是否被恶意代码重组过。”

    Symantec发现的6个已感染的应用都指向中文语言：其中两个合法应用主要是查找和预约医生软件，上架于中国的安卓市场。其他的包括一个新app、手游，以及博彩和彩票软件。

（责任编辑：乘日揽月）

http://www.35176.com/shop/