印第安納大學(xué)系統(tǒng)安全實驗室(System Security Lab at Indiana University)和微軟研究院今日發(fā)布報告稱，他們在Android系統(tǒng)源碼中發(fā)現(xiàn)多處漏洞，允許黑客在Android用戶進行系統(tǒng)升級時發(fā)動惡意攻擊。 l{\~I  
~{=+dQ  
報告稱，將Android設(shè)備的操作系統(tǒng)升級到最版本是確保智能手機和平板電腦安全的最佳方式之一。但研究人員經(jīng)過對當(dāng)前的Android升級機制進行研究后發(fā)現(xiàn)，事實并非如此。 6^if%62l&  
VkRvmKYl  
研究人員稱，Android系統(tǒng)存在多處安全漏洞，允許黑客開發(fā)一些看似很安全的應(yīng)用潛伏在系統(tǒng)中。一旦用戶對Android系統(tǒng)進行升級，這些應(yīng)用就會露出“猙獰”面目。報告稱，這些應(yīng)用可以未經(jīng)用戶允許就在升級過程中獲得一些至關(guān)重要的能力，如自動獲取新版本系統(tǒng)中所引入的所有新的權(quán)限，用惡意應(yīng)用取代系統(tǒng)級應(yīng)用，將惡意腳本植入任意網(wǎng)頁中等等。 TStu)6%`  
iVFHr<zk  
研究人員將該漏洞稱為“Pileup漏洞”，即通過升級過程獲得未經(jīng)許可的更高授權(quán)。在Android系統(tǒng)源碼中，研究人員共發(fā)現(xiàn)六類Pileup漏洞，且這些漏洞存在于當(dāng)前所有Android版本中。  Ae<v  
++5W_Ooep  
值得慶幸的是，到目前為止這些漏洞尚未被黑客廣泛利用。但研究人員表示，黑客會利用這份研究報告開發(fā)出自己的Pileup攻擊。為解決該問題，印第安納大學(xué)系統(tǒng)安全實驗室已經(jīng)在Google Play和亞馬遜App Store應(yīng)用商店內(nèi)發(fā)布了免費的應(yīng)用“Secure Update Scanner”，限制其他應(yīng)用在用戶升級時獲取更高權(quán)限。 Pi40w+/  
.px*.e s  
印第安納大學(xué)系統(tǒng)安全實驗室和微軟研究院計劃在今年5月的“IEEE安全與隱私研討會”上發(fā)布該研究報告，并詳細展示如何利用該漏洞發(fā)起攻擊。