根据谷歌最近发布的一条消息，黑客和“恶意内部人员”已经能够泄露几个Android制造商用来签署Android设备上使用的系统应用程序的平台签名密钥。这些签名密钥用于保证应用程序甚至手机上运行的Android操作系统版本的合法性。#Android#

(资料图片仅供参考)

长期存在的漏洞影响了LG、三星和其他Android相关制造商

控制这些密钥的不良行为者可能会在系统级别上让Android“信任”载有恶意软件的应用程序。这就像在用户同意的情况下将家和汽车的钥匙交给小偷一样。易受攻击设备上的所有数据都可能面临风险。其中一些密钥用于签署从Play商店安装或从其他Android应用程序店面加载的常规应用程序。

虽然尚未确定泄露密钥的所有来源，但已点名的公司包括：

三星

LG

联发科技

Szroco（生产沃尔玛Onn平板电脑的公司）

谷歌表示，该漏洞是在今年5月向其报告的，相关公司已“采取补救措施，将对用户的影响降至最低”。不完全是“全部清除”标志，特别是考虑到APKMirror最近在三星的Android应用程序中发现了一些易受攻击的签名密钥的消息。

谷歌在一份声明中表示，Android用户通过GooglePlayStoreProtect功能以及制造商采取的行动受到保护。谷歌表示，该漏洞利用不会影响从Play商店下载的任何应用程序。

谷歌发言人表示：“我们一报告关键漏洞，OEM合作伙伴就立即采取了缓解措施。最终用户将受到OEM合作伙伴实施的用户缓解措施的保护。谷歌已经在BuildTestSuite中对恶意软件进行了广泛检测，该套件扫描系统“图像。GooglePlayProtect也检测到恶意软件。没有迹象表明此恶意软件存在于或曾经存在于GooglePlay商店中。我们建议用户确保运行的是最新版本的Android。”

用户需要做什么

谷歌建议相关公司交换当前使用的签名密钥，并停止使用泄露的密钥。它还建议每家公司发起调查以了解密钥是如何泄露的。希望这能防止类似的事情在未来再次发生。谷歌还建议公司对最少数量的应用程序使用singingkeys，以减少未来潜在泄漏的数量。

那么，作为可能受影响的Android手机的所有者，我们能做些什么呢？确保手机运行的是最新版本的Android，并在所有安全更新到达后立即安装。Android用户应避免侧载应用程序，主要是安装来自第三方应用程序店面的应用程序时。

这个漏洞已经存在多年。三星称非常重视Galaxy设备的安全性，自2016年得知该问题后就发布了安全补丁，目前还没有发生过与此相关的已知安全事件潜在的漏洞。始终建议用户使用最新的软件更新使设备保持最新状态。