看似無害卻毒如黑寡婦：Android 漏洞助黑客製作虛假權限描述！

不少流動用戶已經習慣先了解應用的特性、評價

才安裝到自己的流動裝置上，這是好事來的；而在應用的安裝過程之中，我們會得到系統提示，並從此看到了應用程式的權限；看似透明度高很高，不過最近便有安全機構發現了 Android 的漏洞，此漏洞令安裝應用可暪騙並不需 100% 的應用的權限顯示在安裝提示頁面之中，黑客從而可竊取用戶密碼、訊息等資訊。

Palo Alto Networks 近日披露 Android 流動作業系統中普遍存在的漏洞，攻擊者可以劫持使用者裝置上看似安全的應用程式－Android 套件（APK），並在使用者不知情下替換為攻擊者選用的應用程式。

攻擊者可以利用該漏洞散佈惡意軟件、損害裝置和竊取使用者資料，估計約一半的 Android 裝置使用者會受到影響。而 Palo Alto Networks 推出了一款應用程式，以幫助可能受影響的 Android 用家診斷其裝置是否存在該漏洞。

漏洞導致隱形誘導轉向 (Stealth Bait and Switch)

此漏洞在 Android 的「PackageInstaller」系統中發現，攻擊者利用該漏洞不受限制地悄悄入侵 Android 裝置。其過程如下：

• 在安裝過程中，Android 應用程式會列出所需的許可權列表以執行其功能，如短訊應用程式請求擷取短訊訊息，而不是 GPS 定位系統。
• 該漏洞透過顯示一個虛假的、限制性更多的許可權欺騙用家，同時卻可以自由擷取用家裝置中的所有服務和資料，包括個人資訊和密碼。
• 當用家認為他們正在安裝一個定義明確、具限定許可權的手電筒程式或手機遊戲時，實際上是讓具有潛在危險的惡意軟件運行。

Palo Alto Networks 已與 Google 和裝置製造商如三星和亞馬遜合作，以協助保護用家資訊並修補已受該漏洞影響的 Android 版本的裝置。一些舊版本的 Android 裝置可能仍然會受到該漏洞的威脅。

如何降低風險

日前披露的漏洞只會影響從第三方來源下載的 Android 應用程式，而從 Google Play 下載的應用程式則不受影響。建議用戶對於存在漏洞的裝置，應只安裝來自 Google Play 的應用程式，因為這些檔案被下載到一個受保護的空間中，而攻擊者無法覆蓋這個空間。並且儘快更新使用最新版本的流動裝置系統，值得留意的是，一些 Android 4.3 的裝置也被發現存在漏洞。另外要留意應用程式使用 logcat 的權限。Logcat 是一個系統日誌，可用於簡化及自動化資料資訊。Android 4.1 以及更高版本的 Android 系統已禁止應用程式使用系統 logcat 以及其他的安裝程式。但在已經 root 的 Android 4.1 或更高版本流動裝置上，已安裝的應用程式仍可使用其它應用程式的 logcat。

相關鏈結：

描述Android安裝程式劫持短片：http://youtu.be/81slOhjrZXY

掃描器應用程式：http://play.google.com/store/apps/details?id=com.paloaltonetworks.ctd.ihscanner