7月30日，安卓系統再曝新的高危系統簽名漏洞，360手機安全專家申迪稱，這是繼2013年7月發現的簽名漏洞后，最新發現的可以假冒正規應用的系統簽名漏洞。雖然較之前的漏洞危害要小一些，但威脅依然非常巨大，影響部分4.4及所有4.4以下版本的安卓系統，這意味著包括國內用戶在內的超過九成以上安卓手機用戶，都會受到影響。

　　國外安全公司Bluebox Security在報告中表示，根本問題在于Android校驗應用身份時采取的方式。驗證身份是網絡世界中最根本的問題之一。例如，登錄銀行賬號的人是否是該賬號的所有者?某款應用是否真如其所宣稱的那樣?每一款Android應用都有自己的數字簽名，也就是ID卡。

　　例如，某手機APP在Android上有一個指定簽名，而該應用開發商開發的所有程序都有一個基于該簽名的ID。但Bluebox卻發現，當一款應用亮出該公司ID時，Android不會卻向該應用開發商核實該ID的真實性。換句話說，網絡犯罪分子可以利用假冒的簽名來開發惡意軟件，從而感染用戶的整個系統。

　　嚴重的是該問題并不局限于某一款APP：黑客還可以創建一個假冒手機網銀APP的惡意軟件，然后訪問用戶的支付賬號和財務數據。系統管理軟件也會存在同樣的問題，使得黑客能夠控制整個系統。

　　360手機安全專家申迪表示，該問題會影響到2010年1月發布的Android 2.1系統及更高版本，但最近的Android 4.4奇巧系統已經修復了與Adobe有關的漏洞。不過仍然影響到部分4.4系統。這一影響覆蓋了超過九成以上的安卓手機用戶。

　　“該漏洞主要威脅之一是使用了webview(網頁瀏覽)組件的應用存在隱私數據失竊、被惡意監控的危害。另外就是攻擊者能靜默獲得NFC的控制權限，可能會對Google Wallet(谷歌錢包)這類的支付應用產生威脅。雖然同是簽名相關的問題，這個漏洞與Master Key相比，危害要小一點?！鄙甑媳硎?。

　　如何防范?申迪指出由于這種攻擊需要安裝惡意APK才會觸發，所以只要下載應用通過360手機助手這樣的整個渠道下載APP，不讓手機感染利用該漏洞的惡意程序。