安卓用户个人信息高危:严重漏洞半数未补

访客:19745  发表于:2015-03-31 10:43:42

  将近一半的安卓设备包含这个漏洞,可将恶意软件替代合法APP,并收集手机中的敏感信息。谷歌、三星和亚马逊已经发布了各自设备的补丁,但仍有49.5%的安卓用户依然容易造到攻击。谷歌官方表示,并未检测到利用此漏洞的攻击。



  这个漏洞称为“安卓安装器劫持”(Android Installer Hijacking),它能够被利用获得设备的完全访问权,包括获取用户名和密码等敏感数据。研究人员已经写了两个利用程序,其中包括如何安装APK(手机应用程序,即APP的安装包)。

  发现这个漏洞的安全公司Palo Alto的研究人员表示,该漏洞只影响第三方应用商店安装的APP。

  从第三方应用商店中下载的应用会把APK安装文件放在未受保护的本地存储区,如SD卡。然后,一个名为“包安装器”(PackageInstaller)的系统应用来完成安装。而该漏洞允许APK文件在安装的时候被更改或替代,而且没有通知。



  攻击过程:

  用户下载似乎是合法的APP,安装时APP要求用户许可设备的一些使用权限。在此过程中,APK文件在系统后台被更改或替换,但“包安装器”却无法察觉。也就是说在点击“安装”之后,包安装器实际上安装的是另一个APP。而且该攻击过程并不需要root权限。

  此漏洞早在2014年1月就被发现,当时接近90%的Android设备受到影响。现在虽然已经下降到49.5%,但仍然是一个庞大的数字,意味成数百万甚至上千万用户的个人信息处于危险之中。研究人员写的利用程序成功攻陷了安卓2.3/4.0.4到4.0.4/4.1.x/4.2.x等版本,以及一些4.3版本的设备,4.4版本则不受影响。

  谷歌已经发布了相关补丁,但一些手机厂商还没有更新补丁。建议用户要格外注意从第三方应用商店下载的APP。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");