安卓严重漏洞半数未补 数百万个人信息处于危险之中
作者:星期五, 三月 27, 20150

将近一半的安卓设备包含这个漏洞,可将恶意软件替代合法APP,并收集手机中的敏感信息。谷歌、三星和亚马逊已经发布了各自设备的补丁,但仍有49.5%的安卓用户依然容易造到攻击。谷歌官方表示,并未检测到利用此漏洞的攻击。

这个漏洞称为“安卓安装器劫持”(Android Installer Hijacking),它能够被利用获得设备的完全访问权,包括获取用户名和密码等敏感数据。研究人员已经写了两个利用程序,其中包括如何安装APK(手机应用程序,即APP的安装包)。

发现这个漏洞的安全公司Palo Alto的研究人员表示,该漏洞只影响第三方应用商店安装的APP。

从第三方应用商店中下载的应用会把APK安装文件放在未受保护的本地存储区,如SD卡。然后,一个名为“包安装器”(PackageInstaller)的系统应用来完成安装。而该漏洞允许APK文件在安装的时候被更改或替代,而且没有通知。

攻击过程:

用户下载似乎是合法的APP,安装时APP要求用户许可设备的一些使用权限。在此过程中,APK文件在系统后台被更改或替换,但“包安装器”却无法察觉。也就是说在点击“安装”之后,包安装器实际上安装的是另一个APP。而且该攻击过程并不需要root权限。

此漏洞早在2014年1月就被发现,当时接近90%的安卓设备受到影响。现在虽然已经下降到49.5%,但仍然是一个庞大的数字,意味成数百万甚至上千万用 户的个人信息处于危险之中。研究人员写的利用程序成功攻陷了安卓2.3/4.0.4到4.0.4/4.1.x/4.2.x等版本,以及一些4.3版本的设 备,4.4版本则不受影响。

谷歌已经发布了相关补丁,但一些手机厂商还没有更新补丁。建议用户要格外注意从第三方应用商店下载的APP。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章