Android再現應用許可權缺陷

為解決大多數使用者不能以手動方式批准應用申請許可權問題，穀歌使從Play Store安裝的應用自動獲得一種許可權，這就為潛伏的惡意件提供了機會。

據Ubergizmo網站報導，世界上就不存在“天衣無縫”的軟體，無論多麼安全的軟體，駭客總是能找到攻擊方法——無論是通過故障(bug)，還是安全性漏洞。雖然Android問世已經多年，安全廠商最近還是在其中發現了一處缺陷。

Check Point通過博文披露了在Android中發現的一處安全缺陷，為勒索件、銀行惡意件和廣告件興風作浪提供了可能。這一缺陷的根由，在於Android Marshmallow引入的一種許可權類別，其本意是允許使用者以手動方式批准應用請求手機許可權。

Ubergizmo 表示，Check Point在博文中稱，“由於穀歌理解這一許可權的問題，以及對用戶隱私的威脅，它創造了批准這一許可權的獨特過程。但是，這很快出了問題，因為這一許可權也被合法應用所使用——例如Facebook Messenger。由於大多數使用者不能以手動方式批准這一許可權，這類應用會因此受到影響。”

作為一種臨時性解決方案，穀歌在Android 6.0.1中包含了一款補丁軟體，使Play Store應用能授予運行時許可權——之後被用來向通過Play Store安裝的應用授予SYSTEM_ALERT_WINDOW許可權。這意味著，直接從Play Store安裝的惡意應用會自動獲得這一危險的許可權。

Ubergizmo稱，好消息是，穀歌在即將發佈的Android O(第8版Android)中修正了這一缺陷，但壞消息是，在Android O發佈前這一缺陷不會得到修正，除非穀歌決定儘早修正這一缺陷——目前尚不清楚穀歌是否會這樣做。在此期間，如果想防止手機感染惡意件，用戶最好不要安裝可疑的應用。