谷歌向OEM推动一个Android安全补丁,旨在修复允许某些恶意应用引导用户进入钓鱼网站窃取用户信息的安全漏洞。这个漏洞最先被网络安全公司FireEye发现,会启动第三方应用利用安卓权限“com.android.launcher.permission.READ_SETTINGS”和“com.android.launcher. permission.WRITE_SETTINGS”,改变安卓启动器的图标和默认设置。这个漏洞影响所有版本的安卓系统,包括Android 4.4.2。
有趣的是,这两项权限会被谷歌视为“正常”,这意味着它们可以自动提供给无需特定授予权限的应用和用户。此外,也不会有提醒告知已获得这些权限,这便让违规者有机可乘。这个恶意应用更改某一图标吸引用户注意并点击,这便会将用户带到钓鱼网站从而获取用户隐私信息。
FireEye在2013年10月份发现了这个漏洞和利用这个漏洞的应用。二月份,谷歌透露准备发布补丁,近期才向合作商推送。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。