假ID漏洞再露锋芒 什么手机安全软件靠得住？

之前被忽视的安卓系统“假ID签名”漏洞日前再显危害锋芒。知名程序员网站CSDN技术人员测试发现，将真的签名证书和假签名证书一同打包到支付宝APK文件中，然后用国内三家安全软件检测，结果该漏洞骗过了360手机卫士的检测。腾讯手机管家安全专家提醒，用户需提升手机支付安全意识，建议一方面不要到非安全电子市场下载应用，另外要安装靠得住的手机安全软件保护支付安全。

在今年7月底安卓系统曝出的“假ID签名”漏洞当时并未引起太多关注，因为有安全分析师认为，这一漏洞只是针对Adobe系统的相关应用，而其他应用不受影响。

也有安全分析师认为，“假ID签名”并非只是存在于Adobe系统相关应用，本质上是创造了一种制造虚假ID签名的方法，如果将这一方法应用于“二次打包”热门应用，将可能骗过安全软件检测，这将严重危害手机用户安全。

为了验证“假ID签名”漏洞的厉害，CSDN技术人员先构造了一个虚假签名证书，然后将真的签名证书和假签名证书一同打包到支付宝APK文件中。然后分别利用腾讯手机管家、豌豆荚（洗白白）、360手机卫士进行检测，结果腾讯手机管家、豌豆荚可识别出这是“山寨支付宝”，而“假ID签名”漏洞骗过了360手机卫士的检测。

图：腾讯手机管家检出山寨支付宝，360未检出

中国互联网协会8月2日发布的《中国互联网金融报告（2014）》显示，2013年我国手机支付用户规模达到1.25亿，交易规模增长率为707%，远高于银行卡收单、互联网支付的增速。安全专家认为，如果一些手机支付类、银行类、电商类应用被犯罪分子利用“假ID签名”漏洞进行二次打包，诱骗用户安装，这将直接导致用户财产损失。

图：CSDN演示伪造支付宝签名证书

CSND技术人员分析认为，360手机卫士被骗可能是其在对APK文件进行安全验证的时候，只验证根证书或者只要匹配一个证书成功就可以了，这显然会让那些利用“假ID漏洞”伪造签名证书的应用成为漏网之鱼。

对此，腾讯手机管家安全专家提醒广大手机用户：

首先，不要到非安全电子市场下载应用。一些山寨类手机应用都被放在手机论坛、非安全电子市场伪装成热门应用提供下载，用户最好到应用的官方站点、有安全检测的电子市场，比如腾讯手机管家“软件管理”、应用宝等下载应用。

其次，安装专业手机安全软件。目前，各大手机安全软件都推出支付安全功能，为手机网购支付提供安全支付环境检测、山寨应用检测等服务，腾讯手机管家可以有效的检测出利用“假ID签名”方法二次打包的山寨应用，习惯手机网购支付的用户应下载安装。