Android漏洞曝光 目前仍有近半数设备面临风险

北京时间3月25日消息，据外媒PCWorld报道，美国安全公司帕洛阿尔托网络(Palo Alto Networks)2014年曝光了一个Android系统漏洞，该漏洞可导致用户数据面临泄露风险，时至今日，仍有近半数的Android设备未打补丁封堵该漏洞。

据悉，利用该漏洞可将合法应用替换为恶意软件，从而窃取手机用户敏感信息。据帕洛阿尔托网络报告，谷歌，三星和亚马逊已经针对旗下机型推出相应的补丁，但其他49.5%的安卓用户仍面临风险。谷歌称尚未检测到利用该漏洞的行为。

一款名为“Android应用安装器劫持”(Android Installer Hijacking)的恶意应用可利用该漏洞，这款应用拥有全部权限，包括访问用户数据和密码。帕洛阿尔托网络公司高级工程师许智(音译)写道。

该漏洞只对通过第三方应用市场安装的应用有效。一般来说，安全专家建议谨慎使用从这些来源下载的应用。通过第三方下载的应用APK安装文件通常被存储在设备不被保护的存储区域，如SD卡，许智写道。然后，系统应用PackageInstaller会完成安装过程。恶意软件可在安装过程中利用该漏洞，在用户不知情的情况下，对APK文件进行修饰或替换。

而且，安卓设备在没有Root的情况下，仍会遭受攻击。尽管Root后的设备面临的风险更大。

2014年1月，帕洛阿尔托公司就发现了这一漏洞，那时，接近90%的安卓用户都面临风险。目前已经降至49.5%，但很多设备仍未安装补丁。