| 春頭 |
2014-03-28 22:29 |
Android被曝多處安全漏洞,影響所有版本!
印第安納大學(xué)系統(tǒng)安全實(shí)驗(yàn)室(System Security Lab at Indiana University)和微軟研究院今日發(fā)布報(bào)告稱,他們?cè)贏ndroid系統(tǒng)源碼中發(fā)現(xiàn)多處漏洞,允許黑客在Android用戶進(jìn)行系統(tǒng)升級(jí)時(shí)發(fā)動(dòng)惡意攻擊。 ��<rs"$JJV
[J.-�gN$X@
報(bào)告稱,將Android設(shè)備的操作系統(tǒng)升級(jí)到最版本是確保智能手機(jī)和平板電腦安全的最佳方式之一。但研究人員經(jīng)過對(duì)當(dāng)前的Android升級(jí)機(jī)制進(jìn)行研究后發(fā)現(xiàn),事實(shí)并非如此。 �?�3
l4��U
=�9ISsI\Y6
研究人員稱,Android系統(tǒng)存在多處安全漏洞,允許黑客開發(fā)一些看似很安全的應(yīng)用潛伏在系統(tǒng)中。一旦用戶對(duì)Android系統(tǒng)進(jìn)行升級(jí),這些應(yīng)用就會(huì)露出“猙獰”面目。報(bào)告稱,這些應(yīng)用可以未經(jīng)用戶允許就在升級(jí)過程中獲得一些至關(guān)重要的能力,如自動(dòng)獲取新版本系統(tǒng)中所引入的所有新的權(quán)限,用惡意應(yīng)用取代系統(tǒng)級(jí)應(yīng)用,將惡意腳本植入任意網(wǎng)頁(yè)中等等。 `���d[ja�,
Nn;p1n
dN�
研究人員將該漏洞稱為“Pileup漏洞”,即通過升級(jí)過程獲得未經(jīng)許可的更高授權(quán)。在Android系統(tǒng)源碼中,研究人員共發(fā)現(xiàn)六類Pileup漏洞,且這些漏洞存在于當(dāng)前所有Android版本中。 �3Vj,O?�(Z
J~[����A8o
值得慶幸的是,到目前為止這些漏洞尚未被黑客廣泛利用。但研究人員表示,黑客會(huì)利用這份研究報(bào)告開發(fā)出自己的Pileup攻擊。為解決該問題,印第安納大學(xué)系統(tǒng)安全實(shí)驗(yàn)室已經(jīng)在Google Play和亞馬遜App Store應(yīng)用商店內(nèi)發(fā)布了免費(fèi)的應(yīng)用“Secure Update Scanner”,限制其他應(yīng)用在用戶升級(jí)時(shí)獲取更高權(quán)限。 L�:g!f�
J0vCi�}�L�
印第安納大學(xué)系統(tǒng)安全實(shí)驗(yàn)室和微軟研究院計(jì)劃在今年5月的“IEEE安全與隱私研討會(huì)”上發(fā)布該研究報(bào)告,并詳細(xì)展示如何利用該漏洞發(fā)起攻擊。
|
|