安卓系統升級釋放魔鬼！PileUp漏洞可激活高危險木馬

手機安全威脅無孔不入，安卓系統升級過程都難倖免。 3 月 28 日，360 手機安全中心發布消息稱，安卓系統在升級時存在“PileUp”高危險漏洞。手機裡即使無任何惡意或權限的程式，駭客也可在用戶不知情的情況下，隨系統升級獲得高敏感權限並發動惡意攻擊。目前，360 已獨家提供“安全升級”方案，美國印第安納大學系統安全實驗室和微軟研究院的研究人員建議為手機安裝 360 手機衛士查殺利用此漏洞的惡意軟體。


▲惡意軟件利用安卓升級漏洞的機會對比圖。

一般手機應用在獲取新權限時會要求用戶確認。但印第安納大學系統安全實驗室和微軟研究院的研究人員研究發現，安卓系統為了簡化程序，在系統升級時不打擾用戶，在後台自動給予手機應用權限，這導致一些沒有高敏感權限的惡意軟體在升級後，可以偷偷獲得用戶密碼、通話記錄、發送訊息等系統權限，甚至替換系統應用。手機用戶的隱私面臨嚴峻的威脅。

研究人員製作了三段影片演示惡意軟體利用該漏洞帶來的強大破壞能力。從影片中可以直觀的看出，一個看起來沒有惡意行為、且無任何權限的普通手機應用程式，在手機升級系統後，具備了可以竊聽 Google Voice 短訊的權限。同時還可以盜取手機瀏覽器中的任何帳號密碼，以及篡改瀏覽器的標籤（駭客可將其篡改為釣魚網站）。


▲安卓系統升級後惡意程序可竊聽、竊取帳號密碼演示影片擷圖。

360 手機安全專家申迪表示，安卓升級漏洞影響幾乎所有安卓版本及手機：三星、LG 和 HTC 等在全球範圍內定制的 3522 個安卓版本裡均存在該漏洞。

研究報告中指出，該漏洞共有六個，2014 年 1 月 8 日 Google 僅修復了其中一個。並認為「修復 Pileup 漏洞補救並不能在短期內真正到達用戶設備」，因此在很長一段時間內，安卓手機用戶在升級時仍將存在巨大的安全隱患。

為此，印第安納大學系統安全實驗室和微軟的研究人員開發了一款“安全升級”的掃描軟體來保護手機系統升級安全。目前，研究人員已與 360 展開獨家合作，研究人員同時建議，可為手機安裝 360 手機衛士等安全軟體，以檢測利用漏洞的手機惡意程式，同時建議透過安全可信的應用軟體平台下載手機應用軟體。

手機防毒專家 - 360 手機衛士 Android 版下載 ：
https://play.google.com/store/apps/details?id=com.qihoo.msafe_tw

水杉而 於 2015-05-25 09:06:50 修改文章內容