7月25日消息，據(jù)國外媒體報(bào)道，網(wǎng)絡(luò)安全技術(shù)開發(fā)商賽門鐵克（Symantec）公司聲明已確認(rèn)第一個已知惡意利用Android主密鑰漏洞。

　　本月早些時(shí)候一家安全研究公司第一次公布該漏洞，并指出攻擊者可以通過漏洞在運(yùn)行谷歌操作系統(tǒng)的手機(jī)上安裝代碼，然后控制Android手機(jī)。賽門鐵克表示其研究人員已監(jiān)控到中國已出現(xiàn)兩個應(yīng)用程序被黑客利用溢出感染。

　　谷歌已采取行動來解決問題，并在兩周前給手機(jī)制造商發(fā)布補(bǔ)丁，但是補(bǔ)丁尚未普及到各手機(jī)用戶手中。與此同時(shí)，谷歌還在其游戲市場掃描該溢出。不過谷歌無法保證消費(fèi)者從其他網(wǎng)站下載軟件的安全性。

　　安全研究公司BlueBox在今年7月3日首先公布發(fā)現(xiàn)谷歌主密鑰漏洞。據(jù)悉，Android操作系統(tǒng)可以合法掃描包含加密簽名的所有Android應(yīng)用程序，并且程序不會被篡改。但是BlueBox表示已經(jīng)發(fā)現(xiàn)一種方法可以在更改應(yīng)用程序代碼的同時(shí)不會影響加密簽名。并且BlueBox提出警告，這項(xiàng)技術(shù)可以被用來在Android設(shè)備上安裝木馬，閱讀設(shè)備上的任何數(shù)據(jù)、竊取密碼、復(fù)制電話號碼、拍照并執(zhí)行其他功能。

　　根據(jù)賽門鐵克報(bào)告，黑客已經(jīng)利用這個漏洞安裝Android.Skullkey惡意軟件。該惡意軟件能夠從被感染手機(jī)讀取數(shù)據(jù)并獲取該手機(jī)收發(fā)的短信，甚至能夠?qū)⒈桓腥臼謾C(jī)變成惡意攻擊者的短信服務(wù)付費(fèi)方。

　　賽門鐵克還表示已監(jiān)控到中國市場兩款應(yīng)用程序已被掛馬，并在報(bào)告里提醒該公司預(yù)計(jì)攻擊者將會繼續(xù)利用這個漏洞來感染毫無戒備的Android設(shè)備用戶。

　　賽門鐵克同時(shí)建議用戶僅從信譽(yù)良好的Android應(yīng)用程序市場下載應(yīng)用程序。并補(bǔ)充道，已被感染的用戶可以進(jìn)入設(shè)置菜單手動刪除相關(guān)軟件。

　　一位電信顧問表示這個消息凸顯了谷歌Android發(fā)布更新所面對的困局。CCSInsight研究主管本-伍德（BenWood）則表示，每當(dāng)谷歌發(fā)布更新時(shí)，設(shè)備制造商需要驗(yàn)證更新，同時(shí)，網(wǎng)絡(luò)運(yùn)營商也需要檢測代碼。這便是Android設(shè)備從軟件到硬件以及網(wǎng)絡(luò)服務(wù)整個過程需要多家運(yùn)營商所帶來的后果，每一家都只關(guān)注自己用戶界面的運(yùn)行情況。相比之下，蘋果公司則是直接面向消費(fèi)者推出更新，節(jié)省很多環(huán)節(jié)。