子鉃 发表于:14年07月11日 17:13 [转载] 赛迪网
Android电话权限漏洞细节:手机竟能自己打电话
近日,360手机安全团队发布技术研究报告称,最新发现了一种可以让手机偷偷拨打或挂断电话的Android手机漏洞。分析报告指出,虽然目前Android4.4.3版本已修复了这一漏洞,但Android系统版本在4.1.1~4.4.2的手机用户仍受影响。
360手机安全专家龚广介绍,德国柏林的安全研究机构Curesec在7月4日公布了Android平台一个电话权限的漏洞,这个漏洞可以让任意应用在用户不知情的情况下拨打或挂断电话。该电话权限漏洞已于去年年底被Curesec率先发现,并秘密通报给Google。
“Android平台电话权限漏洞是由于Android开发人员一时疏忽造成的,代码编写时出现了遗漏,才致使Android系统版本在4.1.1~4.4.2的手机用户受到影响。”360手机安全专家龚广表示,受其影响,这些用户的手机如果遇到相关木马病毒,后台便可自动拨打、挂断电话。
图:受影响的Android系统版本
360手机安全专家进一步介绍,一般情况下,Android系统在安装应用前会通知手机用户将会使用哪些权限,手机用户也可以通过权限判断该应用是否存在恶意行为,如360手机卫士安全中心于2013年底拦截到大批山寨手电筒应用,就含有发短信的权限,能在后台偷扣话费。
这一漏洞的出现,可以使一些恶意程序在安装前并不提示手机用户将会使用拨打电话的权限,手机用户难以通过权限判断应用是否安全,而中招手机却能在机主完全不知情的情况下拨打任意电话。
“回拨吸费电话、任意拨打国际长途漫游电话等,都将额外耗费手机用户话费。更麻烦的是,这一漏洞还可以让手机中已经安装的任意应用挂断当前正在进行的通话,严重干扰手机的正常使用。”360手机安全专家指出,虽然目前还没有出现利用该漏洞的木马病毒,但这一漏洞的原理及利用代码已经公开,很可能被恶意利用。
因此,专家提醒,Android系统版本在4.1.1~4.4.2的手机用户可以选择升级系统修补漏洞,或通过360手机卫士保护手机安全,第一时间查杀利用这一漏洞的木马。