之前被忽視的安卓系統(tǒng) “假ID簽名”漏洞日前再顯危害鋒芒。知名程序員網(wǎng)站CSDN技術(shù)人員測試發(fā)現(xiàn)，將真的簽名證書和假簽名證書一同打包到支付寶APK文件中，然后用國內(nèi)三家安全軟件檢測，結(jié)果該漏洞騙過了360手機衛(wèi)士的檢測。騰訊手機管家安全專家提醒，用戶需提升手機支付安全意識，建議一方面不要到非安全電子市場下載應(yīng)用，另外要安裝靠得住的手機安全軟件保護支付安全。

在今年7月底安卓系統(tǒng)曝出的“假ID簽名”漏洞當(dāng)時并未引起太多關(guān)注，因為有安全分析師認為，這一漏洞只是針對Adobe系統(tǒng)的相關(guān)應(yīng)用，而其他應(yīng)用不受影響。

也有安全分析師認為，“假ID簽名”并非只是存在于Adobe系統(tǒng)相關(guān)應(yīng)用，本質(zhì)上是創(chuàng)造了一種制造虛假ID簽名的方法，如果將這一方法應(yīng)用于“二次打包”熱門應(yīng)用，將可能騙過安全軟件檢測，這將嚴重危害手機用戶安全。

為了驗證“假ID簽名”漏洞的厲害，CSDN技術(shù)人員先構(gòu)造了一個虛假簽名證書，然后將真的簽名證書和假簽名證書一同打包到支付寶APK文件中。然后分別利用騰訊手機管家、豌豆莢(洗白白)、360手機衛(wèi)士進行檢測，結(jié)果騰訊手機管家、豌豆莢可識別出這是“山寨支付寶”，而“假ID簽名”漏洞騙過了360手機衛(wèi)士的檢測。

圖：騰訊手機管家檢出山寨支付寶

中國互聯(lián)網(wǎng)協(xié)會8月2日發(fā)布的《中國互聯(lián)網(wǎng)金融報告(2014)》顯示，2013年我國手機支付用戶規(guī)模達到1.25億，交易規(guī)模增長率為707%，遠高于銀行卡收單、互聯(lián)網(wǎng)支付的增速。安全專家認為，如果一些手機支付類、銀行類、電商類應(yīng)用被犯罪分子利用“假ID簽名”漏洞進行二次打包，誘騙用戶安裝，這將直接導(dǎo)致用戶財產(chǎn)損失。

圖：CSDN演示偽造支付寶簽名證書

CSND技術(shù)人員分析認為，360手機衛(wèi)士被騙可能是其在對APK文件進行安全驗證的時候，只驗證根證書或者只要匹配一個證書成功就可以了，這顯然會讓那些利用“假ID漏洞”偽造簽名證書的應(yīng)用成為漏網(wǎng)之魚。

對此，騰訊手機管家安全專家提醒廣大手機用戶：

首先，不要到非安全電子市場下載應(yīng)用。一些山寨類手機應(yīng)用都被放在手機論壇、非安全電子市場偽裝成熱門應(yīng)用提供下載，用戶最好到應(yīng)用的官方站點、有安全檢測的電子市場，比如騰訊手機管家“軟件管理”、應(yīng)用寶等下載應(yīng)用。

其次，安裝專業(yè)手機安全軟件。目前，各大手機安全軟件都推出支付安全功能，為手機網(wǎng)購支付提供安全支付環(huán)境檢測、山寨應(yīng)用檢測等服務(wù)，騰訊手機管家可以有效的檢測出利用“假ID簽名”方法二次打包的山寨應(yīng)用，習(xí)慣手機網(wǎng)購支付的用戶應(yīng)下載安裝