趋势网(微博)讯：我们都知道，漏洞为黑客提供了将合法应用恶意化的机会，那么安卓到底有多可靠？

考编第1名却因学历重叠政审不合格  官方确认倒车致2人身亡女子系法官  清华学生兼职家教被白嫖300元  

一位网络安全研究员已发布了漏洞代码，黑客能够将在谷歌运行的安卓手机操作系统变成木马病毒。与此同时，谷歌宣布他发布了一个补丁，可以保护用户不受木马之虐。

合法的安卓程序使用密码签名来保证程序不会被他人修改，而不是依赖开发商。上周，安全研究员启用了Bluebox，提供更高级、更详细的计算机安全隐患资料，却忽视了技术细节，这有可能会使很多用户再次受到攻击。

趋势网记者获悉，Pau Oliva Fora，一位在viaForensics工作的高级手机安全工程师，发布了概念验证代码。任何一个有点技术的人，在不改动加密签名的情况下，都能修改现在的安卓程序。32-line漏洞演示了利用这些漏洞和缺陷容易，但可能有用户从第三方那里安装和升级程序会出现问题。

“我认为这是一个很严重的问题，没有装补丁的用户下载安装程序时应小心谨慎，特别是从官方销售买来的程序，” Oliva Fora写了一封e-mail给Ars。

他继续说，漏洞是靠APK安卓文件应用中加入了新的项目代码清单并且没有消除原始记录情况进行工作。新条目里的文件名和原来的一摸一样，就是内容不一样。原始记录的内容和验证签名相匹配，而新纪录的内容被恶意篡改，这些内容在安装之后就会生效运行。

“安卓未能在APKs上进行适当的检查，导致了里面的文件名被复制” Oliva Fora解释说“签名验证的项目是在APK里第二个，安装完毕的项目是APK里第一个（入侵的项目里包含了恶意负载并且不验证签名）。这需要创建一个特别的APK文件来解决，里面有正确的签名文件也有恶意文件”

对他们来说，谷歌理应采取缓解措施，保护安卓用户不受此类的攻击。工程师已经发布一个补丁搭档，厂家把他装入智能手机，如三星。一位谷歌女发言人说，更重要的是，Google Play市场审查了可用的程序有无攻击迹象，谷歌验证工具为安卓用户提供安全保障，为那些下载程序到不属于Google Play的手机设备。谷歌扫描工具还有待去发现，在Google Play和其他应用商店被漏洞利用的证据。

此外，用户还要小心从第三方市场下载程序，Oliva Fora提醒用户可以使用扫描程序检验，如果在智能机上安装程序被漏洞利用时。他说漏洞也会被安卓杀毒软件阻止，尽管添加单独软件包需要时间

趋势网编后语：我们很开心听说谷歌已经采取预防措施来保护不足之处。值得注意的是，尽管17个月以前有服务介绍说消除了黑客攻击Google Play的程序，包括whitehat and blackhat，但却频频发现这些程序想尽办法绕开保护措施。我们到现在还不清楚，谷歌发布的补丁对其他厂家生产的手机是否有用。直到这月末，Bluebox研发员在Black Hat安全大会上发布的更多详细资料，读者用户才认真对待这种威胁。