IBM 的安全研究人員揭露,代號為 Jelly Bean 的 Android 4.3 的 KeyStore 服務有安全漏洞,並有可能會將使用者儲存於 KeyStore 中的金鑰外洩。
使用人數多不容忽視
是次被 IBM 發現的 Android 漏洞,雖然只影響較舊的 4.3 版本系統,但據 Google 的統計顯示,市面上仍有大約 10% 的 Android 裝置使用 4.3 版本的系統,所以此漏洞的危險性仍不可被忽視。
KeyStore 為 Android 上專門用作儲存各種程式金鑰及密碼的程式,讓用戶在再次登入程式時不需要重覆輸入密碼。
不過,IBM 的安全研究人員在去年 9 月時發現,KeyStore 在其 buffer 中存在漏洞,黑客可能透過 buffer overflow 攻擊以存取儲存於 KeyStore 中的各種金鑰,甚至偽裝成用戶登入相關服務。幸好 Android 早已建立了不少安全機制,提高了攻擊門檻,可算是不幸中之大幸。
為免除暴露在威脅下的風險,筆者建議用戶應儘早將手上 Android 裝置上的系統版本更新至最新版本。
Source:Lumension
