來自印第安納Bloomington大學(xué)和微軟的研究人員發(fā)現(xiàn)了一個(gè)Android設(shè)備的嚴(yán)重缺陷，這個(gè)缺陷導(dǎo)致升級(jí)之后的Android設(shè)備有被惡意軟件感染的危險(xiǎn)。

[[112378]]

這種連環(huán)缺陷(通過升級(jí)提升權(quán)限)允許惡意軟件隨著系統(tǒng)的升級(jí)來提升自身的權(quán)限。

根據(jù)報(bào)告，“一個(gè)不懷好意的應(yīng)用可能會(huì)針對(duì)低版本的操作系統(tǒng)有策略地部署一些權(quán)限，直到它通過升級(jí)提升了在新版系統(tǒng)中的權(quán)限。需要特別說明的是，我們通過利用這些連環(huán)漏洞發(fā)現(xiàn)，這些應(yīng)用不僅可以獲取一系列新添加的系統(tǒng)、數(shù)字簽名的權(quán)限，還可以修改系統(tǒng)的設(shè)置(例如：保護(hù)等級(jí))，而且能進(jìn)一步替換新系統(tǒng)中的應(yīng)用，污染其他應(yīng)用的數(shù)據(jù)(例如：緩存、Android系統(tǒng)默認(rèn)瀏覽器的Cookies)從而偷取用戶敏感信息或者修改安全設(shè)置，甚至可以阻止系統(tǒng)關(guān)鍵服務(wù)的安裝。”

這使得惡意應(yīng)用程序可以獲得訪問語音郵件、短信、通話記錄和其他一些被惡意應(yīng)用程序控制的應(yīng)用的權(quán)限。

研究人員指出，“所有Android官方版本和超過3000個(gè)定制版本都會(huì)受到這個(gè)缺陷的影響，我們通過一個(gè)程序驗(yàn)證工具系統(tǒng)性的分析了PMS(管理系統(tǒng))的源碼，并且確認(rèn)了所有Android官方版本和超過3000個(gè)定制版本存在這些安全缺陷。我們的研究還鑒定了上百種可利用的漏洞，這些漏洞可能被不懷好意者廣泛應(yīng)用于不同制造商、不同目標(biāo)人群和不同國家的上千種設(shè)備中。”

這些缺陷已經(jīng)報(bào)告給了谷歌，相關(guān)修復(fù)措施正在進(jìn)行中。

[研究報(bào)告(自備梯子)]

原文地址：http://www.techworm.net/2014/03/updating-your-android-can-wake-up.html#at_pco=smlwn-1.0&at_si=535c73ff9f86ff13&at_ab=per-4&at_pos=0&at_tot=1