Android 6.0.1棉花糖带来了一个重大的安全缺陷,但是Google直到Android 8.0 O击中现场才解决它。
这意味着两个最新的Android版本(Marshmallow和Nougat)受到该漏洞的困扰,该漏洞由可以通过银行恶意软件和勒索软件来利用的权限缺陷组成。
Android权限缺陷赠款访问恶意软件,勒索软件
令人不安的启示来自安全公司的检查点,该检查点仔细研究了Android中采用的Google的许可模型,发现它包含一个错误,该错误是用于广告软件,勒索软件和银行Trojan恶意软件的工具,以接管受害者的屏幕,并使用勒索和勒索和屏幕网络钓鱼页面。
“基于Google的策略,该策略授予直接从Google Play安装的应用程序的广泛权限,此缺陷使Android用户遇到了几种类型的攻击,包括勒索软件,银行恶意软件和广告软件,” Check Point揭示。 “检查点向Google报告了这个缺陷,该缺陷回答说,即将在即将到来的Android版本中处理了此问题,目前被称为'Android O.'。”
Android 6.0棉花糖目前是使用最广泛使用的Android版本,但它具有敏感许可System_alert_window,这允许应用程序推动覆盖其他应用程序的Windows。主要的安全漏洞完全源于此许可。
Check Point的报告提供了一些令人震惊的统计数据。在检查了Android的权限模型后,发现勒索软件的74%,57%的广告软件和14%的银行业务恶意软件利用此许可进行他们的阴暗操作。安全公司指出,这显然是一个主要威胁,因为这是攻击者广泛使用的真正策略。
Android权限模型
在早期版本的安卓,Google要求用户通过设置屏幕手动批准此许可,这降低了恶意事件的潜力,因为这是一个更艰难的过程。允许应用程序访问Wi-Fi州,摄像机,联系人或麦克风等资源,而无需手动批准此许可大大增加了滥用的可能性,滥用率也提高了。
为什么?好吧,从Android 6.0.1开始棉花糖,如果该应用来自Google Play商店,Google修改了批准批准批准system_alert_window权限的过程。
Google添加了例外,因为某些合法的应用程序(例如Facebook Messenger)需要该许可来支持诸如浮动聊天头之类的功能,但是手动许可过程阻碍了其成功,因为用户通常未能在其设备的系统设置中授予必要的权限。换句话说,Google添加了例外,以确保合法应用以最佳方式运行,但事件适得其反。
Check Point解释说,Google在Android 6.0.1中发布了一个补丁,作为临时解决方法,使Play Store应用程序能够授予运行时间权限。这些权限后来授予了直接从Play商店安装的所有应用程序授予System_alert_window的权限,这意味着,只要从Play商店安装,任何恶意应用程序都会自动获得许可。
而Google Play是安装合法的最安全来源安卓应用程序,一些恶意应用程序仍在裂缝中滑落,如果此权限被广泛滥用,如检查点所示,权限例外可能会增加Google Play用户恶意软件的风险。最终,这取决于Google首先防止恶意软件访问Google Play商店的程度。
检查点指出,Google将使用Android O修复此权限漏洞,该漏洞将于今年第三季度推出。
