安卓嚴重漏洞半數未補 數百萬個人資訊處于危險之中

本文講的是 安卓嚴重漏洞半數未補 數百萬個人資訊處于危險中，将近一半的安卓裝置包含這個漏洞，可将惡意軟體替代合法APP，并收集手機中的敏感資訊。谷歌、三星和亞馬遜已經釋出了各自裝置的更新檔，但仍有49.5%的安卓使用者依然容易造到攻擊。谷歌官方表示，并未檢測到利用此漏洞的攻擊。

這個漏洞稱為“安卓安裝器劫持”（Android Installer Hijacking），它能夠被利用獲得裝置的完全通路權，包括擷取使用者名和密碼等敏感資料。研究人員已經寫了兩個利用程式，其中包括如何安裝APK（手機應用程式，即APP的安裝包）。

發現這個漏洞的安全公司Palo Alto的研究人員表示，該漏洞隻影響第三方應用商店安裝的APP。

從第三方應用商店中下載下傳的應用會把APK安裝檔案放在未受保護的本地存儲區，如SD卡。然後，一個名為“包安裝器”（PackageInstaller）的系統應用來完成安裝。而該漏洞允許APK檔案在安裝的時候被更改或替代，而且沒有通知。

攻擊過程：

使用者下載下傳似乎是合法的APP，安裝時APP要求使用者許可裝置的一些使用權限。在此過程中，APK檔案在系統背景被更改或替換，但“包安裝器”卻無法察覺。也就是說在點選“安裝”之後，包安裝器實際上安裝的是另一個APP。而且該攻擊過程并不需要root權限。

此漏洞早在2014年1月就被發現，當時接近90%的安卓裝置受到影響。現在雖然已經下降到49.5%，但仍然是一個龐大的數字，意味成數百萬甚至上千萬用 戶的個人資訊處于危險之中。研究人員寫的利用程式成功攻陷了安卓2.3/4.0.4到4.0.4/4.1.x/4.2.x等版本，以及一些4.3版本的設 備，4.4版本則不受影響。

谷歌已經釋出了相關更新檔，但一些手機廠商還沒有更新更新檔。建議使用者要格外注意從第三方應用商店下載下傳的APP。

原文釋出時間為：三月 27, 2015

本文作者：Recco

本文來自雲栖社群合作夥伴安全牛，了解相關資訊可以關注安全牛。