資安業者Palo Alto Networks揭露了一個存在於Android平台上的安全漏洞,該漏洞允許駭客偷偷以惡意程式取代合法程式的安裝,因而被稱為Android安裝綁架(Android Installer Hijacking)漏洞,雖然該漏洞早在一年前就被發現,4.3之後的版本也都已經修補,但估計目前仍影響49.5%的Android用戶。
Palo Alto Networks資深工程師Zhi Xu表示,該公司早在去年的1月就發現此一漏洞,察覺Android允許駭客綁架一般的Android APK安裝程序,以惡意程式取代合法程式的安裝,例如當使用者打算要安裝合法的Angry Birds程式時,駭客可以直接換成惡意的Flashlight程式。
Xu說明,Android支援自Google Play或本機端的檔案系統中安裝程式,自Google Play下載的APK檔案(Android程式的檔案格式)會存放在裝置中受保護的檔案系統中,但自第三方應用程式商店下載的APK則會存放在諸如SD卡等未受保護的儲存區域,不論是哪種方式都是利用Android系統上的PackageInstaller功能完成安裝。
但PackageInstaller中卻含有一個「檢查至使用時間差」("Time of Check" to "Time of Use")的安全漏洞,可在安裝程序中修改或偷換APK檔案。不過,此一漏洞僅影響那些自第三方商店下載、儲存在未受保護區域的APK檔案,儲存在保護區域的APK檔案則無法被改寫。
包括Android 2.3、4.0.3、4.0.4、4.1.X與 4.2.x都受到此一漏洞的影響,在去年1月時有高達89.4%的Android用戶使用相關版本,隨著Google釋出Android 4.3、Android 4.4與Android 5.0,受到該漏洞影響的Android用戶比例已下滑到49.5%。除了有些基於Android 4.3的裝置仍受到波及外,Android 4.4與Android 5.0都已修補該漏洞。
Palo Alto Networks建議那些受到影響的用戶只能從Google Play下載程式,或是使用Android 4.3以上的裝置,並拒絕程式存取Logcat系統紀錄。(編譯/陳曉莉)
熱門新聞
2024-04-17
2024-04-17
2024-04-18
2024-04-15
2024-04-15
2024-04-15