新华网天津７月３１日专电（记者 周润健）安卓系统日前再曝系统签名漏洞，这是继２０１３年７月发现的签名漏洞后，新发现的可以假冒正规应用的系统签名漏洞。

　　３６０手机安全专家申迪表示，这一漏洞影响部分４．４及所有４．４以下版本的安卓系统，这意味着包括国内用户在内的超过九成以上安卓手机用户，都会受到影响。

　　据了解，该漏洞的出现根本问题在于Ａｎｄｒｏｉｄ校验应用身份时采取的方式。

　　每一款Ａｎｄｒｏｉｄ应用都有自己的数字签名，也就是ＩＤ卡。例如，某手机ＡＰＰ在Ａｎｄｒｏｉｄ上有一个指定签名，而该应用开发商开发的所有程序都有一个基于该签名的ＩＤ。

　　但安全专家发现，当一款应用亮出该公司ＩＤ时，Ａｎｄｒｏｉｄ不会向该应用开发商核实该ＩＤ的真实性。换句话说，不法分子可以利用假冒的签名来开发恶意软件，从而感染用户的整个系统。

　　该问题并不局限于某一款ＡＰＰ，黑客可以创建一个假冒手机网银ＡＰＰ的恶意软件，然后访问用户的支付账号和财务数据。

　　“目前来看，该漏洞可能会对”谷歌钱包“这类的支付应用产生较大威胁。”申迪说。

　　专家建议，在谷歌和手机厂商提供官方升级补丁修复此漏洞之前，用户应定期更新手机卫士病毒库，及时查杀利用该漏洞的恶意软件，从而获得临时性保护。