Android系统升级提权漏洞

2014-04-01 +4 203452人围观 ,发现 9 个不明物体 漏洞资讯

写在前面:

    这是一个android提权漏洞,在android进行系统更新时才能触发,看似比较鸡肋,但也可能造成很严重的后果,毕竟,谁都不想让自己手机里的隐私公诸于众。

正文:

    来自印第安纳州立大学和微软安全团队的安全研究人员最近纰漏了6个android漏洞,这些漏洞可以在用户升级系统的时候把无害的应用,变成恶意软件。

    团队中的某个研究人员指出“用户往往认为,升级操作系统会让自己的手机变的更安全,因为新的系统往往修补了以往的漏洞,

    并应用了更加健壮的安全机制。但是,新发现的漏洞Pileup(privilege escalation through updating),可以让本身没有权限的APP,

    在系统更新的时候,在不经用户允许的情况下获得权限。这个漏洞,基本作用于所有android系统。这个漏洞会造成很严峻的后果,举个例再来说,一个恶意软件可以通过系统更新,获取访问你,短信,通话记录电话本,等私人信息的权限。

    通常恶意软件会取得系统的最高权限,甚至可以把google官方日历的APP篡改成一个收集用户信息的恶意软件,或者通过向android浏览器中植入javascript代码来窃取用户敏感信息,还可以阻止用户安装APP。

    这个安全组织的成员通过上传可以利用这个漏洞的APP,证明了自己的观点。同时他们也编写了一个应用,来检查这些通过系统更新来提权的恶意应用,在各大android商店都可以下载到。(这里原文也没有给出下载地址)

    这个组织已经向google上报了这个漏洞,其中一个漏洞立刻被修复,但是由于android系统的更新换代十分缓慢,所以,使用上文中的app仍然是一个不错的选择。

[原文地址,译/FreeBuf小编蓝蓝]

[特别感谢Claud指正文章编译问题]

这些评论亮了

  • FB客服 (9级) FreeBuf官方客服 回复
    @Claud 非常抱歉,编辑蓝蓝同学已经被FB内部群殴一顿,双手已经打上石膏了,现在管理员拿着菜刀架在他脖子上逼他改呢,估计他下次再也不会犯错了。 :cry: ,也希望能有更多像Claud这样严谨的同学指出我们的不足,鞭笞着我们成长!
    )34( 亮了
  • Claud 回复
    Freebuf还敢再劣质一些不?
    1. 印第安纳州立大学的四位华人研究人员和微软研究院的一个华人研究员被说成“印度的安全团队”;
    2. Google在1月8日修复了漏洞,这里被说成“要等到这个漏洞修复可能还需要一段时间”;
    3. 都有了原文了、有了关键词,随便都能搜到原始网址(secureandroidupdate.org),译者居然好意思特意指出"这里原文也没有给出下载地址"。
    在Freebuf看到不负责任的、不当或错误的、甚至完全译反意思的文章已经不是一次两次了,译者每次都不同,但作为平台连基本的审核都不要?此外,且不说翻译有没有获得原作者许可,现在连原始链接都去掉了?一律“出自:FreebuF.COM”?
    )25( 亮了
  • lanlan (6级) 阿里巴巴安全工程师 回复
    @Claud 刚才看到了你的评论,的确是小编我在翻译的时候出现了~严重的失误~,现在正在玩命的修改,请读者老爷海涵~:p
    )13( 亮了
发表评论

已有 9 条评论

取消
Loading...
css.php