Android 被曝多處安全漏洞 影響所有版本

北京時間3月28日晚間消息，印第安納大學系統安全實驗室(System Security Lab at Indiana University)和微軟研究院今日發布報告稱，他們在Android系統源碼中發現多處漏洞，允許黑客在Android用戶進行系統升級時發動惡意攻擊。

報告稱，將Android設備的操作系統升級到最版本是確保智能手機和平板電腦安全的最佳方式之一。但研究人員經過對當前的Android升級機制進行研究后發現，事實并非如此。

研究人員稱，Android系統存在多處安全漏洞，允許黑客開發一些看似很安全的應用潛伏在系統中。一旦用戶對Android系統進行升級，這 些應用就會露出“猙獰”面目。報告稱，這些應用可以未經用戶允許就在升級過程中獲得一些至關重要的能力，如自動獲取新版本系統中所引入的所有新的權限，用 惡意應用取代系統級應用，將惡意腳本植入任意網頁中等等。

研究人員將該漏洞稱為“Pileup漏洞”，即通過升級過程獲得未經許可的更高授權。在Android系統源碼中，研究人員共發現六類Pileup漏洞，且這些漏洞存在于當前所有Android版本中。

值得慶幸的是，到目前為止這些漏洞尚未被黑客廣泛利用。但研究人員表示，黑客會利用這份研究報告開發出自己的Pileup攻擊。為解決該問題，印第安納大學系統安全實驗室已經在Google Play和亞馬遜App Store應用商店內發布了免費的應用“Secure Update Scanner”，限制其他應用在用戶升級時獲取更高權限。

印第安納大學系統安全實驗室和微軟研究院計劃在今年5月的“IEEE安全與隱私研討會”上發布該研究報告，并詳細展示如何利用該漏洞發起攻擊。