安全公司Bluebox Security發現，2010年Android 2.1以后的版本存在名為“假身份”(Fake ID)的漏洞，可能讓惡意程序繞過Android的安全機制，假冒為合法的程序。一起來看看這個Android漏洞的危害原理與機制。

Bluebox公司技術部門負責人Jeff Forristal解釋，Android應用安全依靠PKI機制，Android系統上一般應用程序要在獲得憑證完成簽名驗證后，才可以在Android上執行。如果無法通過驗證，就只能在Android沙箱環境下執行。然而有些應用，如Adobe Flash、Google Wallet等被視為信賴應用，其憑證是寫入Android底層程序碼中(AOSP)，這種簽名權限比較高，可以直接在Android系統中執行，比如Flash可以以當成webview外掛執行，Google Wallet可以存取NFC設備內的支付信息等等。有些設備則視3LM的設備管理軟件為信賴應用。

　　Forristal指出，Fake ID漏洞可讓惡意程序藉由取得信賴應用的簽名，繞過Android內的安全驗證機制執行，因此只要安裝一個仿冒的應用程序，就可能遭受到黑客的惡意行為，比如利用Adobe Flash webview外掛執行權限注入木馬程序、取得用戶財務資料，或是取得整臺Android設備的控制權限。

　　Fake ID最早出現在2010年一月發布的Android 2.1，所有執行2.1到代號為KitKat的Android 4.4 版系統的設備都會受到影響。Google已經在今年4月針對這個代碼為13678484的Bug發布修補程序，并交給Android合作伙伴。Android 4.4由于在webview上做過修改而得以幸免于難。

　　Google除了已發布修補程序并交給Android合作伙伴，并已修補了AOSP，強化Google Play及Google的掃瞄軟件Verify Apps。Google指出，公司已掃描過所有送交Google Play的應用，Google同時也檢查非Google Play上架的應用，但目前并沒有證據顯示有針對該漏洞的攻擊行為。