谷歌披露安卓嚴重安全問題，惡意軟體能夠獲取系統級許可權

上星期，谷歌在Android合作伙伴漏洞倡議（APVI，Android Partner Vulnerability Initiative）上披露了一類需要特別注意的安全事件：部分Android原始裝置製造商（OEM）的平臺證書發生了洩露，正被濫用於對包含惡意軟體的 Android應用程式進行簽名，這會導致惡意應用也能夠獲取對Android裝置的系統級訪問許可權。

在Android開放原始碼專案（AOSP）之外，有些漏洞是特定的Android原始裝置製造商（OEM）所獨有的。APVI旨在幫助解決這些谷歌不維護的裝置程式碼的問題。每當發現存在安全問題時，APVI都會警告OEM並提供解決方案。

APVI上寫道：平臺證書是用於對系統映像上的“android”應用程式進行簽名的應用程式簽名證書。“android”應用程式使用高特權使用者ID “android.uid.system”執行，並擁有系統許可權（包括訪問使用者資料的許可權）。使用相同證書籤名的任何其他應用程式都可以宣告它希望使用相同的使用者ID執行，從而為其提供相同級別的Android作業系統訪問許可權。

這意味著如果惡意應用也使用了相同的平臺證書進行簽名，並分配了高特權的“android.uid.system”使用者ID，則這些惡意應用也將獲得對Android裝置的系統級訪問許可權（例如管理正在進行的呼叫、安裝或刪除程式包、收集有關裝置的資訊以及其他高度敏感的操作）。

目前已確定一些被濫用的平臺證書屬於三星電子、LG電子、Revoview和聯發科，另外還有一些尚未確定歸屬。

谷歌向所有受影響的安卓原始裝置製造商通報了此類濫用行為，並建議其採取補救措施以儘量減少對使用者的影響。谷歌建議這些廠商最好輪換平臺證書，調查洩漏以查明問題的根源，並將使用Android平臺證書籤名的應用程式數量保持在最低限度，從而在將來發生類似事件的時候能夠降低解決問題的成本。

對於使用者來說，要想盡量確保自己的裝置安全，通常而言保持裝置執行的是最新的Android版本是簡單且有效的做法。

編輯：左右裡

資訊來源：APVI、bleepingcomputer

轉載請註明出處和本文連結

每日漲知識

補丁（patch）

作業系統或應用程式的軟體更新，通常用來取代某些系統檔案，更正漏洞或缺陷。原指在已編譯的可執行程式替換二進位制資料塊，但如今通常更換整個檔案。

﹀

﹀

﹀