Android漏洞停不了　應用權限描述作假！

不少流動用戶已經習慣先了解應用的特性、評價才安裝到自己的流動裝置上，安裝時會提示應用程式會用到甚麼權限，看似透明度高。但最近有發現Android有一漏洞，令安裝應用時列表上沒有顯示的權限仍可被使用，黑客從而可竊取用戶密碼、訊息等資訊。

Palo Alto Networks近日披露Android流動作業系統中普遍存在的漏洞，攻擊者可以劫持使用者裝置上看似安全的應用程式－Android套件（APK），並在使用者不知情下替換為攻擊者選用的應用程式。

攻擊者可以利用該漏洞散佈惡意軟件、損害裝置和竊取使用者資料，估計約一半的Android裝置使用者會受到影響。而Palo Alto Networks推出了一款應用程式，以幫助可能受影響的Android用家來診斷其裝置是否存在該漏洞。

漏洞導致隱形誘導轉向 (Stealth Bait and Switch)

此漏洞在Android的 「PackageInstaller」系統服務中發現，攻擊者利用該漏洞不受限制地悄悄入侵Android裝置。其過程如下：

在安裝過程中，Android應用程式會列出所需的許可權列表以執行其功能，如短訊應用程式請求擷取短訊訊息，而不是GPS定位系統。 該漏洞透過顯示一個虛假的、限制性更多的許可權欺騙用家，同時卻可以自由擷取用家裝置中的所有服務和資料，包括個人資訊和密碼。 當用家認為他們正在安裝一個定義明確、具限定許可權的手電筒程式或手機遊戲時，實際上是讓具有潛在危險的惡意軟件運行。

Palo Alto Networks已與Google和裝置製造商如三星和亞馬遜合作，以協助保護用家資訊並修補已受該漏洞影響的Android版本的裝置。一些舊版本的Android裝置可能仍然會受到該漏洞的威脅。

如何降低風險

日前披露的漏洞只會影響從第三方來源下載的Android應用程式，而從Google Play下載的應用程式則不受影響。建議用戶對於存在漏洞的裝置，只安裝來自Google Play的應用程式，因為這些檔案被下載到一個受保護的空間中，而攻擊者無法覆蓋這個空間。並且儘快更新使用Android4.3_r0.9以及更高版本的流動裝置，值得留意的是，一些Android4.3的裝置也被發現存在漏洞。另外要留意應用程式使用logcat的權限。Logcat是一個系統日誌，可用於簡化及自動化資料資訊。Android4.1以及更高版本的Android系統已禁止應用程式使用系統logcat以及其他的安裝程式。但在已經Root的Android4.1或更高版本流動裝置上，已安裝的應用程式仍可使用其它應用程式的logcat。

相關鏈結：

掃描器應用程式：http://play.google.com/store/apps/details?id=com.paloaltonetworks.ctd.ihscanner

描述Android安裝程式劫持短片：