首页 >> >> 信息发布 >> 正文
安卓系统升级释放魔鬼:PileUp漏洞可激活高危木马
通信世界网 http://www.cww.net.cn 2014年3月31日 09:28
标签:360
 

通信世界网讯(CWW) 手机安全威胁无孔不入,安卓系统升级过程都难幸免。3月28日,360手机安全中心发布消息称,安卓系统在升级时存在“PileUp”高危漏洞。手机里即使无任何恶意或权限的程序,黑客也可在用户不知情的情况下,随系统升级获得高敏感权限并发动恶意攻击。目前,360已国内独家提供“安全升级”方案,美国印第安纳大学系统安全实验室和微软研究院的研究人员建议中国手机用户通过360手机助手下载“安全升级”程序保护升级安全,或为手机安装360手机卫士查杀利用此漏洞的恶意软件。

图1:恶意软件利用安卓升级漏洞的机会对比图

一般手机应用在获取新权限时会要求用户确认。但印第安纳大学系统安全实验室和微软研究院的研究人员研究发现,安卓系统为了简便,在系统升级时不打扰用户,在后台自动给予手机应用权限,这导致一些没有高敏感权限的恶意软件在升级后,可以偷偷获得访问用户密码、通话记录、发送短信等系统权限,甚至替换系统应用。手机用户的隐私信息面临严峻的威胁。

研究人员制作了三段视频演示恶意软件利用该漏洞带来的强大破坏能力。从视频中可以直观的看出,一个看起来没有恶意行为、且无任何权限的普通手机应用,在手机升级系统后,具备了可以窃听GoogleVoice短消息的权限。同时还可以盗取手机浏览器中的任何帐号密码,以及篡改浏览器的标签(黑客可将其篡改为钓鱼网站)。

图2:安卓系统升级后恶意程序可窃听、窃取帐号密码演示视频

360手机安全专家申迪表示,安卓升级漏洞影响几乎所有安卓版本及手机:三星、LG和HTC等在全球范围内定制的3522个安卓版本里均存在该漏洞。

研究报告中指出,该漏洞共有六个,2014年1月8日谷歌仅修复了其中一个。并认为“修复Pileup漏洞的补丁并不能在短期内真正到达用户设备”,因此在很长一段时间内,安卓手机用户在升级时仍将存在巨大的安全隐患。

为此,印第安纳大学系统安全实验室和微软的研究人员开发了一款“安全升级”的扫描软件来保护手机系统升级安全。目前,研究人员已与360在国内展开独家合作,在360手机助手独家上架“安全升级”应用,供中国安卓手机用户下载。

研究人员同时建议,可为手机安装360手机卫士等安全软件,以检测利用漏洞的手机恶意程序。同时建议通过安全可信的应用商店下载手机应用。

360手机助手独家提供“安全升级”扫描软件:

http://zhushou.360.cn/detail/index/soft_id/1594856

360手机卫士最新版下载地址:

Http://shouji.360.cn通信世界网

 

来源:通信世界网
相关文章
 
文章评论
 
    昵称:  验证码:

 
关注通信世界网
 
 
官方微信
“cww-weixin”(或扫描下图二维码),即可于获得独家的CWW视点分析、最新的通信资讯。
 
 
专家观点
当运营商服务遇上互..
作为以用户为中心、以服务争市场的运营商,从营业厅到客服热线,从网上营业..
 
 
最新专题
  • 1

  • 1

  • 1

  • 1

通信百科
 
华为IDC/ISP信息安全管理..
IDC需要加强信息安全管理互联网接入服务管理是互联网管理的重要组成部分..
 
 
 
新浪微博 腾讯微博 微信 rss
人民邮电出版社
工业和信息化部
人民邮电出版社图书专营店
中国通信企业协会
中国通信学会
中国互联网协会
无线电频谱管理中心
工业和信息化部电信研究院
中国通信标准化协会
中国移动通信联合会
中国邮电器材公司
中国电信
中国移动
中国联通
中国信息协会信息服务网络委员会
爱购服务器之家
新浪科技
搜狐IT
腾讯科技
凤凰网科技
人民网无线频道
中国通信网
移动Labs
中华电子网
通信产业网
企业网
In-Stat
IT价值联盟
中国软件资讯网
通信人才网
慧聪通信网
CTI论坛
CIO选型网
CTO技术网
美通社
赛立信竞争情报网
CRS通信学社
ZDNet至顶网
和讯科技
博趣·兴趣门户
呼叫中心频道
运营与增值
信天下企业短信
新电子
OFweek光通讯网
中云网