palo Alto Networkshas的研究人员发现了令人恐惧的Android漏洞,该漏洞可能使黑客从不知情的用户那里窃取数据。更可怕的是,它可能会影响近一半的当前Android用户。
该漏洞被称为 “Android安装程序劫持漏洞”,据报道,该漏洞允许攻击者在不知情的情况下秘密将应用程序下载给Android用户。
这是它的工作原理:
当Android用户安装应用程序时,他们总是被引导到一个权限屏幕,以确保用户知道应用程序有什么样的要求。但是,此漏洞表明,如果用户从第三方应用程序商店或应用程序推广 (即,不是Google play),Android不能确保在权限页面中显示给用户的应用程序是正在下载的实际应用程序。这意味着攻击者可以 “在后台修改或替换软件包”。也就是说,黑客可以秘密地将您认为正在下载的文件更改为其他更恶意的文件。可以将其视为应用程序的诱饵和开关。攻击者有两种方法可以利用此漏洞。第一,他们可以向消费者展示一个外观正常的应用程序,然后,一旦获得用户批准,就将其换成恶意软件。或者,攻击者可以对应用程序所需的权限撒谎,这意味着应用程序看起来不错,但实际上可以获得对私人电话数据的各种访问。
如此多的用户处于危险之中,这一事实凸显了Android的真正问题。总之,Android操作系统是令人不安的碎片化。尽管该公司一直在努力解决其操作系统碎片化问题,但市场上超过一半的设备使用的版本最多只有最新版本的三个版本。最近的更新被称为Lollipop,在11月2014年发布,目前只有3.3% 个Android用户运行它。
相比之下,苹果声称去年秋天,所有iphone用户中有94% 使用去年发布的iOS版本。有这么多Android用户跨越这么多版本,谷歌很难对这样的问题发布一个干净的修复。
Android安装程序劫持漏洞适用于Android 4.3设备。它是在1月2014年首次发现的,研究人员通知了Google,三星和Amazon (所有这些都提供了该漏洞适用的操作系统)。现在,一年多过去了,所有的供应商都安装了补丁来修复它,但早期版本的Android仍然面临风险。
根据最新数据,这代表了市场上49.5% 的Android设备。
对于Android用户来说,最明显的解决方法是更新他们的软件。如果他们无法做到这一点,用户只能通过Google play下载应用程序,因为这些文件无法被攻击者覆盖。
因此,如果您运行的是旧版本的Android,则最好确保您知道要下载的内容。