首页
社区
课程
招聘
转载:安卓严重漏洞半数未补 数百万个人信息处于危险之中
发表于: 2015-3-30 16:07 2738

转载:安卓严重漏洞半数未补 数百万个人信息处于危险之中

2015-3-30 16:07
2738
将近一半的安卓设备包含这个漏洞,可将恶意软件替代合法APP,并收集手机中的敏感信息。谷歌、三星和亚马逊已经发布了各自设备的补丁,但仍有49.5%的安卓用户依然容易造到攻击。谷歌官方表示,并未检测到利用此漏洞的攻击。

这个漏洞称为“安卓安装器劫持”(Android Installer Hijacking),它能够被利用获得设备的完全访问权,包括获取用户名和密码等敏感数据。研究人员已经写了两个利用程序,其中包括如何安装APK(手机应用程序,即APP的安装包)。

发现这个漏洞的安全公司Palo Alto的研究人员表示,该漏洞只影响第三方应用商店安装的APP。

从第三方应用商店中下载的应用会把APK安装文件放在未受保护的本地存储区,如SD卡。然后,一个名为“包安装器”(PackageInstaller)的系统应用来完成安装。而该漏洞允许APK文件在安装的时候被更改或替代,而且没有通知。

攻击过程:

用户下载似乎是合法的APP,安装时APP要求用户许可设备的一些使用权限。在此过程中,APK文件在系统后台被更改或替换,但“包安装器”却无法察觉。也就是说在点击“安装”之后,包安装器实际上安装的是另一个APP。而且该攻击过程并不需要root权限。

此漏洞早在2014年1月就被发现,当时接近90%的安卓设备受到影响。现在虽然已经下降到49.5%,但仍然是一个庞大的数字,意味成数百万甚至上千万用 户的个人信息处于危险之中。研究人员写的利用程序成功攻陷了安卓2.3/4.0.4到4.0.4/4.1.x/4.2.x等版本,以及一些4.3版本的设 备,4.4版本则不受影响。

谷歌已经发布了相关补丁,但一些手机厂商还没有更新补丁。建议用户要格外注意从第三方应用商店下载的APP。

   原文链接:http://www.aqniu.com/threat-alert/7087.html
   文章来自安全牛

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
高手在人间啊
2015-4-6 21:04
0
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
好文章真的是好文章
2015-4-14 09:56
0
游客
登录 | 注册 方可回帖
返回
//