移動安全公司Bluebox近期在其研究報告中指出，谷歌安卓移動操作系統存在新的安全漏洞，黑客可利用該漏洞“偽裝”成安全應用軟件，從而入侵用戶的智能手機和平板電腦。

    Bluebox在報告中指出，最根本的問題出在了安卓系統對應用軟件“ID”的審查方式上，或者谷歌根本就不去審查應用軟件的身份。Bluebox將此漏洞描述為 “虛假ID”。
    總部位于舊金山的Bluebox公司首席技術官杰夫·佛利斯塔爾(JeffForristal)表示，該公司主要是幫助公司保護移動設備上的數據，該公司員工也在調查和理解Bluebox所基于的移動操作系統構架。
    驗證“ID”是互聯網世界最重要的問題之一。就像有了銀行賬號和密碼就可以登陸該銀行賬戶一樣，每個應用軟件也有自己的數字簽名——“ID卡”。比如，Adobe在安卓平臺上有一個特定的數字簽名，Adobe所發布的所有應用軟件都是在這個數字簽名基礎上分配“ID”。Bluebox發現，當某款應用上攜帶了Adobe“ID”，安卓系統并不會核實這個ID的真實性。這也就意味著，黑客可利用此漏洞偽造出Adobe的數字簽名，并編寫惡意代碼植入軟件中，從而對用戶設備展開“入侵”。 這種漏洞并非只針對Adobe：黑客可以開發攜帶惡意病毒的應用軟件，“冒充”谷歌錢包，然后獲取用戶支付和財務數據。同樣的問題也存在于設備上的管理軟件中，黑客可控制整個系統。
    佛利斯塔爾表示：“我們已發現了一種創建虛假ID的方法， 但是目前還不清楚，黑客到底創建的是哪一種虛假ID卡。”
    Bluebox表示，這一漏洞將會影響到安卓2.1及以上系統。不過，谷歌4.4系統已經修復了這一漏洞。根據市場研究機構Gartner提供的數據，從2012年至2013年，配安卓操作系統的新設備出貨量達到了14億部左右。Gartner預期今年將有11.7億部安卓設備出貨量。
    谷歌發言人克里斯多夫·卡特薩洛斯(Christopher Katsaros)表示：“我們非常感謝Bluebox能夠很負責地將這一漏洞通知我們，第三方研究是提高安卓系統安全性、保護用戶隱私的有效途徑之一。”
    想要解決安卓系統中所存在漏洞，主要還是看安全研究人員和谷歌處理軟件或者程序里所發現漏洞的方法。同時，這也表明了處理安卓系統漏洞的“復雜性”，因為修復漏洞不光需要來自谷歌的努力，還要涉及不同軟件開發者和硬件設備制造商。
    佛利斯塔爾表示，他們已經在今年三月下旬時完成了這項研究，并在3月31日將此漏洞提交給了谷歌。安卓安全小組在4月開發出了補丁，并將其提供給供應商，后者在Bluebox將此漏洞公布于眾前，有90天的時間來向用戶推送補丁。Bluebox已經測試了40款安卓設備。該公司表示：“我們僅知道，只有一家設備供應商向用戶提供了修復補丁。”
    卡特薩洛斯表示，Google Play和Verify Apps已經采取措施來保護用戶，使其免受虛假ID漏洞的影響。他表示：“現在，我們已對所有提交給Google Play的應用軟件，以及來自Google Play之外，但受谷歌評估的應用軟件進行掃描，我們并沒有發現任何試圖借此漏洞入侵用戶設備的應用”。
    跟谷歌所采取的措施不同，在今年年初，蘋果發布了一份有關iOS安全的白皮書，上面寫道：“我們在設計iOS時就已經開發出了一種新型安全措施，我們所開發的創新功能同時兼顧了安全和生態系統體驗。”相比較谷歌，蘋果設備在企業和政府領域的滲透速度要快很多。7月初，蘋果和IBM宣布結盟，雙方將合作來將蘋果產品推向企業市場。
    Bluebox計劃在下周美國拉斯維加斯召開的“黑帽”安全技術大會上討論他們的“發現”。