Android Android系统暴露严重安全漏洞

在研究人员揭露Stagefright漏洞后，谷歌又发现了Android系统的另一个严重安全漏洞。

特权提升漏洞可能允许普通应用程序获得超级特权，从而允许其窥视各种设备数据、在设备上静默安装恶意软件或导致其他严重后果。研究人员在下面的视频中演示了这一点。

该漏洞代码为CVE-2015-3825，影响约55%的Android手持设备。这些受影响的设备系统通常为4.3 或更高版本，包括当前流行的Android M。

Android 系统的OpenSSLX509Certificate 类中的漏洞可被普通应用程序利用，通过攻击系统上的system_server 进程来获得对设备的系统级访问权限。

或者，正如IBM 安全研究员Perez 通过权限升级将IBM 变成“超级应用程序”，让网络犯罪分子成功获得目标设备的控制权。 ”

:“除了这个Android漏洞之外，该公司的安全研究团队还发现了多个第三方Android软件开发工具包（SDK）可以帮助攻击者获取移动应用程序。我们还发现了以下漏洞：

该漏洞的作用机制如下：攻击者向用户提供看似良性的应用程序。当用户安装应用程序时，看似正常的恶意程序不会询问用户设备数据权限。这种机制允许您：它给安装应用程序的用户带来了错误的安全感。

一旦用户安装恶意软件，它就会利用OpenSSLX509Certificate漏洞修改手持设备的内存值并提升其权限。然后，攻击者可以引入合法应用程序并替换设备上现有的应用程序，一旦设备重新启动，攻击者就可以开始从设备收集数据。

好消息是，该公司已经发布了修复该漏洞的更新补丁，目前为止尚未发生因该漏洞引发的安全事件。不过坏消息是，大部分安卓用户还没有收到本次更新补丁推送，而且很多安卓用户还要等待一段时间才能收到更新补丁推送（谷歌的新政策是用户（通过推送更新和补丁的方式）在每个月的基础上。 ）。

2015年USENIX进攻技术研讨会在华盛顿特区举行，研讨会上还介绍了有关该漏洞的完整信息。