Android安全漏洞给坏应用程序超级权力

一个新的Android漏洞可能会影响到当前手机的80％，可能会让用户容易受到流氓应用程序的影响 -开发人员不能将恶意软件潜入Android安全设备的防御。

 恶意软件使用这种攻击非常非常容易 - 它是沉默的，透明的，没有通知用户。该错误允许应用程序使用其他发布者的数字签名，从而执行诸如窃取数据的操作。

谷歌已经修补了这个错误 - 但只限于数量有限的手机。ESET UK的Mark James表示：“Android已经发布了其最新版本的补丁（4月份），但仍然有超过80％的Android用户可能不受保护。” Google数据显示，82.1％的用户正在运行旧版本。

自2010年1月以来，所有安装的设备都出现了这个缺陷。

Android安全 - 签名缺陷

“假身份证”漏洞依赖主要发布商使用的数字签名，其中一些人拥有特殊的权限，包括能够将代码注入其他应用程序（在Adobe的情况下，添加Flash播放器，Forristal猜测）。

该漏洞可被恶意软件用来逃避正常的应用程序沙箱，并采取一个或多个恶意操作：通过模仿Adobe系统将特洛伊木马插入到应用程序中; 通过冒充Google电子钱包获取NFC财务和付款数据; 或者通过模仿3LM来对整个设备进行全面的管理控制。

这可能导致恶意应用程序窃取用户数据，恢复密码和秘密，或在某些情况下危及整个Android设备。

 Android 4.4之前的所有设备都容易受到Adobe System webview插件特权升级的攻击，允许恶意应用程序将特洛伊木马代码（以webview插件的形式）注入到其他应用程序中，导致整个应用程序的控制，所有的应用程序的数据，并能够做任何应用程序被允许做。

谷歌在一份声明中表示：“收到这个漏洞之后，我们很快发布了一个补丁，发给了Android合作伙伴。Google Play和验证应用也得到了增强，以保护用户免受此问题的困扰。目前，我们已经扫描了所有提交给Google Play的应用以及Google从Google Play以外版本进行审核的所有应用，而且我们也没有看到有任何企图利用此漏洞的证据。

Android市场的零散性意味着这些措施可能需要很长时间才能到达一些网络 - 如果他们这样做的话。

Android安全 - 做什么

这个漏洞出现在所有Android版本（包括4.4版本以上），这是很多潜在的Android用户可能受到影响，关键词是可以，Android已经发布了一个补丁其最新版本，但仍然有超过80％的android用户可能不受保护。

“很多手机用户并不知道旧操作系统的潜在问题，因为很少关注制造商更新手机软件的速度。”

“大多数Android手机配置为通知你更新，但如果你想这样做，让你选择，如果要求很多Android用户不知道他们有什么版本或可能不能告诉你最新版本，最常见这是因为他们的制造商正在运行他们自己的Android版本，并且没有更新到最新版本，只是因为他们意识到了这一点。

至今还没有证据表明这个缺陷已被使用 - 至少不是大规模的。在这个阶段，像出厂重置手机这样的严格步骤似乎不是必要的。

基本的手机卫生是最好的防御手段。“理想情况下，最好的解决方案是确保您的手机制造商定期更新其操作系统，定期自行检查更新，并立即安装更新，也尽可能尝试从Google Play商店下载和安装应用程序。任何其他地点必须检查真实性，通常如果在Play商店付费的应用程序可以在其他地方免费获得，则可能是假的，如果您决定从其他来源下载应用程序，请对网站地址进行一些调查并确保你阅读评论，如果有的话，我的建议是，如果没有评论，那么不要下载它。