北卡罗来纳州立大学的研究人员对八部Android手机(HTC的Legend,EVO 4G和Wildfire S;摩托罗拉的Droid和Droid X;三星的Epic 4G以及谷歌的Nexus One和Nexus S)进行了研究,发现了更多可能令人不安的信息。 虽然Nexus手机和OG Droid(运行Android的手机)有一个小的安全问题,即pico应用程序中的代码错误,允许另一个应用程序删除pico安装程序应用程序,其余的一堆不是这样的好。 所有带有自定义Android版本的手机都存在严重的安全问题
特别是,通过利用这些泄露的功能,这些受影响的手机上的不受信任的应用程序可以设法消除手机上的用户数据,发送SMS消息(例如,发送到高级号码),记录用户对话或获取用户地理位置 - 所有都没有要求任何许可。
显然,由于HTC,Moto和Samsung等供应商构建的系统应用程序都使用相同的数字签名密钥签名,因此它们能够相互通信并访问彼此的数据。 虽然这是一个严重的安全漏洞,但它也可能是通过设计完成的,因此像Friendstream或Social Hub这样的应用程序可以轻松地解析社交网络应用程序数据并对其进行聚合,而这些研究人员只是找到了一种利用该系统的新方法。
虽然对Android的影响是新的,但对流行计算平台的漏洞利用攻击的想法却并非如此。 随着Android的普及,越来越多的人将专注于寻找(和报告)针对操作系统的攻击。 研究人员尽职尽责地向谷歌和所有的OEM报告了这个问题,尽管他们表示难以与HTC和三星打交道(截至本文撰写时),研究人员表示,“如果不忽视我们的报告/查询,他们的反应非常缓慢”。
你应该担心吗? 只不过是你昨天。 恶意软件的存在是因为很多人都使用Android,用户并不仅限于安装已批准的应用程序。 如果这些类型的报告打扰您 - 这是一个非常有效的响应 - 您仍然可以选择仅由知名开发人员安装受信任的应用程序,或其他选项,以便不在您的手机上运行受影响的固件。 虽然没有人想听我说再说(但我还是要这么做),运行Android的Nexus设备再次免受这些严重问题的影响,所以如果你重视安全性,总是更好的选择。
资料来源:北卡罗来纳州立大学CSC(.pdf)
