手机在现代人生活中的价值,不仅仅是一个通讯工具,对於骇客来说也是所有用户个人数据的入口闸道。全球安全公司一直在努力运作,确保尽快消除攻击媒介。近日微软的发现阻止了一个影响许多 Android 手机的严重漏洞,揪出了一个有问题的框架,而且它还与许多在 Android 手机上预装的系统应用同捆在一起。
微软新发现一个 Android 漏洞,展示如何将预装系统应用程式作为攻击媒介
这次的问题发生在一个由 MCE Systems 所开发的框架上,该框架与许多 Android 手机电信商提供的许多系统应用程式綑绑在一起,以自我诊断工具列入其中,这些应用程式在 Google Play 商店里面也有提供。截至目前为止,该漏洞完全可以绕过 Google 的自动安全检测,不过在微软主动与 Google 沟通後,後者已经将该漏洞列入检测清单中。
由於该框架是预装系统应用程式的一部分,所以它拥有非常多的权限以允许它作为功能的一部分获得对手机几乎全部的控制能力。它可以访问与操作音量控制,从手机镜头无声快速拍摄,控制并获取来自 NFC、蓝牙以及 Wi-Fi 的资讯,查看手机位置、访问储存空间中的内容(如文件、媒体)等。这通常不应该是一个问题,因为只有有问题的特权系统应用才能与框架之间进行交互传递。
然而微软发现,由於框架的设计使得攻击者可以植入一个持久型的後门默默地监视目标,或者用不安全的 JavaScript 程式码注入而对有问题的设备进行实质性的控制。 MCE Systems 与 Microsoft 合作解决了这个问题,并且它已经实现了一种不同的软体设计,该设计因为不再轮询非同步作业结果(这是罪魁祸首!)而使之不容易受到此类攻击。在此过程中,两家公司还注意到,谷歌在 Android 5 及更高版本上提供了一个 API,可用来代替该公司以前的较不安全的作法,因此 MCE Systems 现在正在可支援的设备上使用 Google 的解决方案。现在应该有 98% 的 Android 手机具有比这更新的 Android 版本。
虽然负责该框架的公司已经解决了这个问题,但使用该框架的应用程式仍然需要更新後才能修补。到目前为止,微软表示许多电信商所提供的应用程式已经开始更新,但仍然可能有旧版本尚在使用中。从这个意义上说,请确保你已经在 Play 商店里启动自动更新功能以便尽快获得修复。由於目前尚不清楚全球有多少电信商使用此框架构建自家的服务性应用,因此可能需要相当长的时间才能在所有电信商发行的设备上修复它。