本文讲的是 安卓严重漏洞半数未补 数百万个人信息处于危险中,将近一半的安卓设备包含这个漏洞,可将恶意软件替代合法APP,并收集手机中的敏感信息。谷歌、三星和亚马逊已经发布了各自设备的补丁,但仍有49.5%的安卓用户依然容易造到攻击。谷歌官方表示,并未检测到利用此漏洞的攻击。
这个漏洞称为“安卓安装器劫持”(Android Installer Hijacking),它能够被利用获得设备的完全访问权,包括获取用户名和密码等敏感数据。研究人员已经写了两个利用程序,其中包括如何安装APK(手机应用程序,即APP的安装包)。
发现这个漏洞的安全公司Palo Alto的研究人员表示,该漏洞只影响第三方应用商店安装的APP。
从第三方应用商店中下载的应用会把APK安装文件放在未受保护的本地存储区,如SD卡。然后,一个名为“包安装器”(PackageInstaller)的系统应用来完成安装。而该漏洞允许APK文件在安装的时候被更改或替代,而且没有通知。
攻击过程:
用户下载似乎是合法的APP,安装时APP要求用户许可设备的一些使用权限。在此过程中,APK文件在系统后台被更改或替换,但“包安装器”却无法察觉。也就是说在点击“安装”之后,包安装器实际上安装的是另一个APP。而且该攻击过程并不需要root权限。
此漏洞早在2014年1月就被发现,当时接近90%的安卓设备受到影响。现在虽然已经下降到49.5%,但仍然是一个庞大的数字,意味成数百万甚至上千万用 户的个人信息处于危险之中。研究人员写的利用程序成功攻陷了安卓2.3/4.0.4到4.0.4/4.1.x/4.2.x等版本,以及一些4.3版本的设 备,4.4版本则不受影响。
谷歌已经发布了相关补丁,但一些手机厂商还没有更新补丁。建议用户要格外注意从第三方应用商店下载的APP。
原文发布时间为:三月 27, 2015
本文作者:Recco
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/threat-alert/7087.html
