（谷歌2013年7月下旬发布了 Android 4.3 Jelly Bean系统，不过这只是一款较小更新版本。当大家还在焦急的等待着传说中的 Android 5.0 Key Lime Pie（酸橙派）系统出现的时候，谷歌宣布Android 4.3 Jelly Bean下一个版本将命名为KitKat（奇巧），它是Android 4.4系统，于去年10月份发布。）

然而，以色列的本古里安大学的研究人员在最新Android 4.4 KitKat中发现了漏洞！该漏洞允许攻击者截获并转移安全虚拟专用网(VPN)流量。

研究者在博客中指出：

“一个恶意程序可以绕过主动VPN配置(不需要ROOT权限)，将安全的数据通信重新定向到一个不同的网络地址。 这些通信抓取信息明文(没有加密！)，信息被完全暴露在外。”

他们继续解释说，用户很可能完全忽视这种被定义为“中间人”的攻击，用户以为通信是被加密，链接是安全的。圣诞节前，也是这个团队在Android4.3中发现了一样的漏洞，尽管KitKat修复了，他们也能够复制。该团队专注于三星KNOX Enterprise系统的VPN不安全区域研究，并用Galaxy S4手机测试。三星否认Android 4.3 Jelly Bean上发现的漏洞是KNOX设置错误所致，并指出

“该漏洞只是使用一种意想不到的方式利用合法的Android网络功能来拦截来自应用的未加密网络连接数据”。

迄今为止谷歌没有任何回应与安全索赔。

据《电脑世界》报道，继三星回应之后，Ben Gurion团队随即又确定了Android4.4的完整VPN旁路，他们指出，他们使用了开箱即用的设备，利用漏洞需要几个权限，但“没什么特别之处”。

漏洞不能突破在发送之前就已被加密的通信。电脑安全顾问也指出，SSL邮件连接和HTTPS-enabled网站或其他安全协议将不会受到影响。但不是所有的应用程序都加密它们的通信，这意味着许多通信仍有可能受到VPN绕行。

The Register 透露，研究人员已将该问题通知Google，希望很快采取行动，来自大学网络安全实验室的Dudu Mimran说：“我们认为这影响严重，因为KitKat才推出不久，这也许是一个很好的检测时间。”

作者 特约撰稿人 ,ESET

注：欣赏一下以往的Android系统名称列表：

Android 1.5: Cupcake（纸杯蛋糕） Android 1.6: Donut（甜甜圈） Android 2.0: Eclair（法式奶油夹心甜点） Android 2.2: Froyo（冻酸奶） Android 2.3: Gingerbread（姜饼） Android 3.0: Honeycomb（蜂巢） Android 4.0: Ice Cream Sandwich（冰激凌三明治） Android 4.1: Jelly Bean（果冻豆 ） Android 4.2: Jelly Bean（果冻豆 ） Android 4.3: Jelly Bean（果冻豆 ） Android 4.4: KitKat（奇巧）