主页(http://www.175shouji.com):Android再现应用权限缺陷 要到第8版才会修正
[摘要]为解决大多数用户不能以手动方式批准应用申请权限问题,谷歌使从Play Store安装的应用自动获得一种权限,这就为潜伏的恶意件提供了机会。
腾讯数码讯(文心)据Ubergizmo网站报道,世界上就不存在“天衣无缝”的软件,无论多么安全的软件,黑客总是能找到攻击方法——无论是通过故障(bug),还是安全漏洞。虽然Android问世已经多年,安全厂商最近还是在其中发现了一处缺陷。
Check Point通过博文披露了在Android中发现的一处安全缺陷,为勒索件、银行恶意件和广告件兴风作浪提供了可能。这一缺陷的根由,在于Android Marshmallow引入的一种权限类别,其本意是允许用户以手动方式批准应用请求手机权限。
Ubergizmo 表示,Check Point在博文中称,“由于谷歌理解这一权限的问题,以及对用户隐私的威胁,它创造了批准这一权限的独特过程。但是,这很快出了问题,因为这一权限也被合法应用所使用——例如Facebook Messenger。由于大多数用户不能以手动方式批准这一权限,这类应用会因此受到影响。”
作为一种临时性解决方案,谷歌在Android 6.0.1中包含了一款补丁软件,使Play Store应用能授予运行时权限——之后被用来向通过Play Store安装的应用授予SYSTEM_ALERT_WINDOW权限。这意味着,直接从Play Store安装的恶意应用会自动获得这一危险的权限。
Ubergizmo称,好消息是,谷歌在即将发布的Android O(第8版Android)中修正了这一缺陷,但坏消息是,在Android O发布前这一缺陷不会得到修正,除非谷歌决定尽早修正这一缺陷——目前尚不清楚谷歌是否会这样做。在此期间,如果想防止手机感染恶意件,用户最好不要安装可疑的应用。
来源:Ubergizmo
