企業資訊安全廠商Palo Alto Networks近日披露Android行動作業系統中普遍存在的漏洞,駭客可藉以劫持行動裝置上看似安全的Android應用程式套件(APK),並在使用者不知情下替換為攻擊者偽造的應用程式。攻擊者可以利用該漏洞散佈惡意軟體、損害裝置和竊取使用者資料,估計約49.5%的Android裝置使用者會受到影響。Palo Alto Networks也發佈了一款應用程式,以幫助可能受影響的Android用家來診斷其裝置是否存在該漏洞。
Palo Alto Networks的Unit 42威脅情報研究員Zhi Xu在Android的 「PackageInstaller」系統服務中發現此漏洞,攻擊者可利用該漏洞不受限制地悄悄入侵已損害的裝置。具體來說,在App安裝過程中,Android會列出所需的授權列表,如短訊應用程式請求擷取短訊訊息,而不是GPS定位系統。然而透過該漏洞,將顯示一個假造且範疇合理的授權列表來欺騙使用者,同時卻可以自由擷取裝置中的所有服務和資料,包括個人資訊和密碼。當使用者認為他們正在安裝一個定義明確、具合理授權範圍的手電筒程式或手機遊戲時,實際上是讓具有潛在危險的惡意軟件運行。
Palo Alto Networks的威脅情報團隊Unit 42,已與Google公司以及Android裝置製造商如三星和亞馬遜合作,以協助保護用戶資訊並修補已受該漏洞影響的Android版本的裝置。一些舊版本的Android裝置可能仍然會受到該漏洞的威脅。
此漏洞會影響從第三方來源下載的Android應用程式,而從Google Play下載的應用程式則不受影響。Palo Alto Networks對使用Android裝置而擔心惡意軟件風險的企業提供以下建議:
- 對於存在漏洞的裝置,只安裝來自Google Play的軟件應用程式;這些檔案被下載到一個受保護的空間中,而攻擊者無法覆蓋這個空間。
- 使用Android4.3_r0.9以及更高版本的行動裝置,值得留意的是,一些Android4.3的設備也被發現存在漏洞。
- 不提供應用程式使用logcat的權限。Logcat是一個系統日誌,可用於簡化及自動化資料資訊。Android4.1以及更高版本的Android系統已禁止應用程式使用系統logcat以及其他的安裝程式。但在已經Root的Android4.1或更高版本行動裝置上,已安裝的應用程式仍可使用其它應用程式的logcat。
- 禁止企業使用者在企業網路中使用Root過的裝置。