新闻链接：http://www.2cto.com/News/201503/386255.html
新闻时间：2015-03-30
新闻正文：
美国信息安全公司Palo Alto Networks在去年曾曝光了一个可导致用户数据面临泄露风险的Android漏洞，该漏洞允许黑客偷偷以恶意程序取代合法程序的安装，被称为“Android安装绑架(Android Installer Hijacking)漏洞”，时至今日，虽然Android4.3之后的版本都已经修补了这个漏洞，但目前估计仍在影响49.5%的Android用户。

目前仍有近半数的Android设备未打补丁封堵该漏洞，这也就意味着这些设备依旧存在泄漏风险。

Android支持从Google Play或本机端的文件系统中安装程序，从Google Play下载的APK文件会存放在设备中受保护的文件系统中，但从第三方应用程序商店下载的APK则会存放在诸如SD卡等未受保护的储存区域，无论哪种方式都是利用Android系统上的PackageInstaller功能完成安装。

但PackageInstaller中却含有一个“检查至使用时间差”("Time of Check" to "Time of Use")的安全漏洞，可在安装程序中修改或偷换APK文件。不过，此一漏洞仅影响那些自第三方商店下载、储存在未受保护区域的APK文件，储存在保护区域的APK文件则无法被改写。

Palo Alto Networks资深工程师Zhi Xu表示该公司早在去年的1月就发现这个漏洞，通过这个漏洞，Android熊将允许黑客绑架一般的Android APK安装程序，以恶意程序取代合法程序的安装，例如当用户打算要安装合法的Angry Birds程序时，黑客可以直接换成恶意的Flashlight程序。

包括Android 2.3、4.0.3、4.0.4、4.1.X与 4.2.x版本都会受这个漏洞的影响，去年1月时有高达89.4%的Android用户使用相关版本，随着Google方不Android 4.3、Android 4.4与Android 5.0，受到该漏洞影响的Android用户比例已下滑到49.5%。除了有些基于Android 4.3的设备仍受到波及外，Android 4.4与Android 5.0都已修补该漏洞。

Palo Alto Networks建议那些受到影响的用户提高警惕，只从Google Play下载程序，或者使用Android 4.3以上的设备，并拒绝应用程序存取Logcat系统纪录。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法