Android 6.0.1棉花糖帶來了一個重大的安全缺陷,但是Google直到Android 8.0 O擊中現場才解決它。
這意味著兩個最新的Android版本(Marshmallow和Nougat)受到該漏洞的困擾,該漏洞由可以通過銀行惡意軟件和勒索軟件來利用的權限缺陷組成。
Android權限缺陷贈款訪問惡意軟件,勒索軟件
令人不安的啟示來自安全公司的檢查點,該檢查點仔細研究了Android中採用的Google的許可模型,發現它包含一個錯誤,該錯誤是用於廣告軟件,勒索軟件和銀行Trojan惡意軟件的工具,以接管受害者的屏幕,並使用勒索和勒索和屏幕網絡釣魚頁面。
“基於Google的策略,該策略授予直接從Google Play安裝的應用程序的廣泛權限,此缺陷使Android用戶遇到了幾種類型的攻擊,包括勒索軟件,銀行惡意軟件和廣告軟件,” Check Point揭示。 “檢查點向Google報告了這個缺陷,該缺陷回答說,即將在即將到來的Android版本中處理了此問題,目前被稱為'Android O.'。”
Android 6.0棉花糖目前是使用最廣泛使用的Android版本,但它具有敏感許可System_alert_window,這允許應用程序推動覆蓋其他應用程序的Windows。主要的安全漏洞完全源於此許可。
Check Point的報告提供了一些令人震驚的統計數據。在檢查了Android的權限模型後,發現勒索軟件的74%,57%的廣告軟件和14%的銀行業務惡意軟件利用此許可進行他們的陰暗操作。安全公司指出,這顯然是一個主要威脅,因為這是攻擊者廣泛使用的真正策略。
Android權限模型
在早期版本的安卓,Google要求用戶通過設置屏幕手動批准此許可,這降低了惡意事件的潛力,因為這是一個更艱難的過程。允許應用程序訪問Wi-Fi州,攝像機,聯繫人或麥克風等資源,而無需手動批准此許可大大增加了濫用的可能性,濫用率也提高了。
為什麼?好吧,從Android 6.0.1開始棉花糖,如果該應用來自Google Play商店,Google修改了批准批准批准system_alert_window權限的過程。
Google添加了例外,因為某些合法的應用程序(例如Facebook Messenger)需要該許可來支持諸如浮動聊天頭之類的功能,但是手動許可過程阻礙了其成功,因為用戶通常未能在其設備的系統設置中授予必要的權限。換句話說,Google添加了例外,以確保合法應用以最佳方式運行,但事件適得其反。
Check Point解釋說,Google在Android 6.0.1中發布了一個補丁,作為臨時解決方法,使Play Store應用程序能夠授予運行時間權限。這些權限後來授予了直接從Play商店安裝的所有應用程序授予System_alert_window的權限,這意味著,只要從Play商店安裝,任何惡意應用程序都會自動獲得許可。
而Google Play是安裝合法的最安全來源安卓應用程序,一些惡意應用程序仍在裂縫中滑落,如果此權限被廣氾濫用,如檢查點所示,權限例外可能會增加Google Play用戶惡意軟件的風險。最終,這取決於Google首先防止惡意軟件訪問Google Play商店的程度。
檢查點指出,Google將使用Android O修復此權限漏洞,該漏洞將於今年第三季度推出。
