3.jpg (42.44 KB, 下載次數: 2)
2011-12-6 09:39 上傳
一般而言,來自Google建議的Android參考部署應該會較無安全性問題,但研究人員卻驚訝地發現,這些手機並未正確地執行Android上的以權限控管為基礎的安全模式。研究團隊已經把研究發現告知Google與相關手機業者,並得到Google與摩托羅拉回覆確認。但研究團隊表示,在嘗試向HTC與三星報告問題時,「遭逢很大的困難」。
北卡州大的研究團隊利用自行開發、名為啄木鳥(Woodpecker)的軟體工具來分析手機上每個預載的應用軟體,測試其「能力外洩(capability leaks)」狀態。所謂能力外洩,是指在應用軟體或作業系統上意外留下、未受保護的高階權限,能被其他的應用軟體透過某種方式允許這些權限被惡意程式利用,並且無需對裝置使用者請求允許執行。
研究團隊將所發現的漏洞分成兩類,其中一類稱為「外顯式能力外洩(explicit capability leaks)」,亦即應用軟體可以直接利用公共介面或是其他應用的軟體服務,無需要求允許權限,而另一種則為隱含型,則是透過承接其他應用軟體權限,並採用同一個數位簽章來達到目的。外顯式外洩可能導致較嚴重的安全問題,而隱含型則僅會誤認個別應用軟體的功能,因此問題相對輕微。
研究團隊針對13種Android手機上可能與用戶隱私相關的敏感性資料或功能進行研究,例如地理位置、存取通訊錄權限,以及發送簡訊等。在所有研究的手機款式中,研究者發現13種當中的11項較高權限被預載的應用軟體以外顯方式外洩。其中最嚴重的機型是HTC的Evo 4G,被發現高達8項外顯式外洩漏洞。
研究團隊利用這些外洩漏洞,在受影響的手機上,發現了一個非信任應用軟體,能夠用來從遠端刪除話機上的資料,還能傳輸簡訊給必須額外收費的號碼,錄下用戶的對談內容,乃至取得使用者的座標資訊等,而且全都無需經過使用者同意或核准。
這項研究只針對預載於手機上的應用軟體。但研究者認為,其他合法的應用軟體上還可能發現更多漏洞,但由於Android Market並未列出每個應用軟體用到了哪些權限,因此很難評估這些軟體市集上的應用軟體的弱點漏洞狀況。儘管如此,預載的應用軟體仍然將是攻擊者最可能的目標,畢竟其母體基礎遠較其他應用軟體來得大。
http://tw.tech.yahoo.com/mobile_smart/article/id/23551/
| 歡迎光臨 Android 台灣中文網 (https://apk.tw/) | Powered by Discuz! X3.1 |