安卓系统存在的问题还是很多的,最近有研究人员发现了安卓系统的一个新的弱点,即使没有权限,也可以强行在安卓系统上安装恶意软件,监控短信、电话等操作,这对于用户来说是很危险的。
去年的时候,研究人员从德国安全公司发了一封邮件给谷歌公司,因为他发现了安卓的一个漏洞。
应用程序可以用你的手机打电话。
举个例子,比如你安装了一个应用程序,这个程序不会问你要电话权限,因为他自己会在后台获得,他会在后台默默地监视你的电话情况,他还可以使用你的电话,比如打电话给别人。
通过利用这些漏洞,恶意应用程序可以启动未经授权的电话,破坏正在进行的电话,拨出昂贵的收费服务和一份很长的电话账单。
允许未经授权的用户终止即将结束的电话和发送短信。
也可以利用这个漏洞断开输出调用和执行
●非结构化补充服务数据(USSD)
●辅助服务(SS)
●制造商 定义MMI(人机 接口)的代码。
这些特殊的代码可以访问各种设备功能或运营商服务,从而获得数据隐私。
”USSD / SS / MMI代码的列表很长,有很多很强大的功能,如代码变化的电话呼叫转移,阻塞SIM卡,启用/禁用匿名来电者等等”。
即使安卓有安检程序,不允许应用程序CALL_PHON执行许可,也可以很容易地绕过从这些检查,因为它会欺骗安卓权限系统。大量的安卓操作系统都会被这个漏洞影响。
Curesec研究人员提供了源代码和证明 概念演示应用程序,允许用户测试Android设备的漏洞。 同时,强烈建议Android用户尽快更新他们的设备,避免成为受害者。 更新预计将在未来几周内推出。