这是一个android提权漏洞,在android进行系统 更新时才能触发,看似比较鸡肋,但也可能造成很 严重的后果,毕竟,谁都不想让自己手机里的隐私 公诸于众。
来自印第安纳州立大学和微软安全团队的安全研究 人员最近纰漏了6个android漏洞,这些漏洞可以在 用户升级系统的时候把无害的应用,变成恶意软 件。
团队中的某个研究人员指出“用户往往认为,升级操 作系统会让自己的手机变的更安全,因为新的系统 往往修补了以往的漏洞,
并应用了更加健壮的安全机制。但是,新发现的漏 洞Pileup(privilege escalation through updating),可 以让本身没有权限的APP,
在系统更新的时候,在不经用户允许的情况下获得 权限。这个漏洞,基本作用于所有android系统。这 个漏洞会造成很严峻的后果,举个例再来说,一个 恶意软件可以通过系统更新,获取访问你,短信, 通话记录电话本,等私人信息的权限。
通常恶意软件会取得系统的最高权限,甚至可以把 google官方日历的APP篡改成一个收集用户信息的 恶意软件,或者通过向android浏览器中植入 javascript代码来窃取用户敏感信息,还可以阻止用 户安装APP。
这个安全组织的成员通过上传可以利用这个漏洞的 APP,证明了自己的观点。同时他们也编写了一个 应用,来检查这些通过系统更新来提权的恶意应 用,在各大android商店都可以下载到。(这里原文 也没有给出下载地址)
这个组织已经向google上报了这个漏洞,其中一个 漏洞立刻被修复,但是由于android系统的更新换代 十分缓慢,所以,使用上文中的app仍然是一个不 错的选择。