「加三嘻行動哇 Yipee! 成為好友」
【Facebook、Youtube、Twitter、Instagram、Telegram、Line】
安卓系統在升級時存在「PileUp」高危險漏洞,手機裡即使無任何惡意或權限的程式,駭客也可在用戶不知情的情況下,隨系統升級獲得高敏感權限並發動惡意攻擊。
一般手機應用在獲取新權限時會要求用戶確認。但印第安納大學系統安全實驗室和微軟研究院的研究人員研究發現,安卓系統為了簡化程序,在系統升級時不打擾用戶,在後台自動給予手機應用權限,這導致一些沒有高敏感權限的惡意軟體在升級後,可以偷偷獲得用戶密碼、通話記錄、發送訊息等系統權限,甚至替換系統應用。手機用戶的隱私面臨嚴峻的威脅。
研究人員製作了三段影片演示惡意軟體利用該漏洞帶來的強大破壞能力。從影片中可以直觀的看出,一個看起來沒有惡意行為、且無任何權限的普通手機應用程式,在手機升級系統後,具備了可以竊聽Google Voice短訊的權限。同時還可以盜取手機瀏覽器中的任何帳號密碼,以及篡改瀏覽器的標籤(駭客可將其篡改為釣魚網站)。
360手機安全專家申迪表示,安卓升級漏洞影響幾乎所有安卓版本及手機:三星、LG和HTC等在全球範圍內定制的3522個安卓版本裡均存在該漏洞。
研究報告中指出,該漏洞共有六個,Google僅修復了其中一個。並認為「修復Pileup漏洞補救並不能在短期內真正到達用戶設備」,因此在很長一段時間內,安卓手機用戶在升級時仍將存在巨大的安全隱患。
為此,印第安納大學系統安全實驗室和微軟的研究人員開發了一款「安全升級」的掃描軟體來保護手機系統升級安全。
消息及資料來源:360手機衛士
|
