手机安全威胁无孔不入,安卓系统升级过程都难幸免。3月28日,360手机安全中心发布消息称,安卓系统在升级时存在“PileUp”高危漏洞。手机里即使无任何恶意或权限的程序,黑客也可在用户不知情的情况下,随系统升级获得高敏感权限并发动恶意攻击。目前,360已国内独家提供“安全升级”方案,美国印第安纳大学系统安全实验室和微软研究院的研究人员建议中国手机用户通过360手机助手下载“安全升级”程序保护升级安全,或为手机安装360手机卫士查杀利用此漏洞的恶意软件。
图1:恶意软件利用安卓升级漏洞的机会对比图
一般手机应用在获取新权限时会要求用户确认。但印第安纳大学系统安全实验室和微软研究院的研究人员研究发现,安卓系统为了简便,在系统升级时不打扰用户,在后台自动给予手机应用权限,这导致一些没有高敏感权限的恶意软件在升级后,可以偷偷获得访问用户密码、通话记录、发送短信等系统权限,甚至替换系统应用。手机用户的隐私信息面临严峻的威胁。
研究人员制作了三段视频演示恶意软件利用该漏洞带来的强大破坏能力。从视频中可以直观的看出,一个看起来没有恶意行为、且无任何权限的普通手机应用,在手机升级系统后,具备了可以窃听GoogleVoice短消息的权限。同时还可以盗取手机浏览器中的任何帐号密码,以及篡改浏览器的标签(黑客可将其篡改为钓鱼网站)。
图2:安卓系统升级后恶意程序可窃听、窃取帐号密码演示视频
360手机安全专家申迪表示,安卓升级漏洞影响几乎所有安卓版本及手机:三星、LG和HTC等在全球范围内定制的3522个安卓版本里均存在该漏洞。
研究报告中指出,该漏洞共有六个,2014年1月8日谷歌仅修复了其中一个。并认为“修复Pileup漏洞的补丁并不能在短期内真正到达用户设备”,因此在很长一段时间内,安卓手机用户在升级时仍将存在巨大的安全隐患。
为此,印第安纳大学系统安全实验室和微软的研究人员开发了一款“安全升级”的扫描软件来保护手机系统升级安全。目前,研究人员已与360在国内展开独家合作,在360手机助手独家上架“安全升级”应用,供中国安卓手机用户下载。
研究人员同时建议,可为手机安装360手机卫士等安全软件,以检测利用漏洞的手机恶意程序。同时建议通过安全可信的应用商店下载手机应用。
360手机助手独家提供“安全升级”扫描软件:
http://zhushou.360.cn/detail/index/soft_id/1594856
360手机卫士最新版下载地址:
Http://shouji.360.cn