Android預載程式發現重大漏洞！可用來濫發簡訊、側錄對話

加好友 · 發表於 2011-12-6 09:39

馬上加入Android 台灣中文網，立即免費下載應用遊戲。

您需要登錄才可以下載或查看，沒有帳號？註冊

x

美國北卡羅萊納州立大學研究員發現，摩托羅拉(Motorola)、HTC與三星(Samsung)等廠商所採用、大受用戶歡迎的智慧型手機作業系統Android，在其標準的程式設定配置中，隱藏重大安全漏洞，這些設定並未正確地保護高階權限不受非信任的應用軟體存取。在這份才剛發佈，由Michael Grace、Yajin Zhou、Zhi Wang與Xuxian Jiang等4名研究員撰寫的報告中描述了這些軟體弱點能夠怎樣被非信任應用軟體用來發送簡訊、錄下對話，甚至在使用者未允許下，刪除手機上的所有使用者資料。

Ars Technica報導，研究人員總共研究評估了8款手機的安全性，包括HTC Legend、EVO 4G、Wildfire S，摩托羅拉的Droid與Droid X，三星電子的Epic 4G，還有Google掛名的Nexus One與Nexus S。

登錄/註冊後可看大圖

3.jpg (42.44 KB, 下載次數: 0)

下載附件保存到相冊

2011-12-6 09:39 上傳

一般而言，來自Google建議的Android參考部署應該會較無安全性問題，但研究人員卻驚訝地發現，這些手機並未正確地執行Android上的以權限控管為基礎的安全模式。研究團隊已經把研究發現告知Google與相關手機業者，並得到Google與摩托羅拉回覆確認。但研究團隊表示，在嘗試向HTC與三星報告問題時，「遭逢很大的困難」。

北卡州大的研究團隊利用自行開發、名為啄木鳥(Woodpecker)的軟體工具來分析手機上每個預載的應用軟體，測試其「能力外洩(capability leaks)」狀態。所謂能力外洩，是指在應用軟體或作業系統上意外留下、未受保護的高階權限，能被其他的應用軟體透過某種方式允許這些權限被惡意程式利用，並且無需對裝置使用者請求允許執行。

研究團隊將所發現的漏洞分成兩類，其中一類稱為「外顯式能力外洩(explicit capability leaks)」，亦即應用軟體可以直接利用公共介面或是其他應用的軟體服務，無需要求允許權限，而另一種則為隱含型，則是透過承接其他應用軟體權限，並採用同一個數位簽章來達到目的。外顯式外洩可能導致較嚴重的安全問題，而隱含型則僅會誤認個別應用軟體的功能，因此問題相對輕微。

研究團隊針對13種Android手機上可能與用戶隱私相關的敏感性資料或功能進行研究，例如地理位置、存取通訊錄權限，以及發送簡訊等。在所有研究的手機款式中，研究者發現13種當中的11項較高權限被預載的應用軟體以外顯方式外洩。其中最嚴重的機型是HTC的Evo 4G，被發現高達8項外顯式外洩漏洞。

研究團隊利用這些外洩漏洞，在受影響的手機上，發現了一個非信任應用軟體，能夠用來從遠端刪除話機上的資料，還能傳輸簡訊給必須額外收費的號碼，錄下用戶的對談內容，乃至取得使用者的座標資訊等，而且全都無需經過使用者同意或核准。

這項研究只針對預載於手機上的應用軟體。但研究者認為，其他合法的應用軟體上還可能發現更多漏洞，但由於Android Market並未列出每個應用軟體用到了哪些權限，因此很難評估這些軟體市集上的應用軟體的弱點漏洞狀況。儘管如此，預載的應用軟體仍然將是攻擊者最可能的目標，畢竟其母體基礎遠較其他應用軟體來得大。

http://tw.tech.yahoo.com/mobile_smart/article/id/23551/

[Android] Android預載程式發現重大漏洞！可用來濫發簡訊、側錄對話

馬上加入Android 台灣中文網，立即免費下載應用遊戲。

評分

相關帖子

警告：您的Adblck已啟用