來自印第安納Bloomington大學和微軟的研究人員發現了一個Android設備的嚴重缺陷，這個缺陷導致升級之后的Android設備有被惡意軟件感染的危險。

[[112378]]

這種連環缺陷(通過升級提升權限)允許惡意軟件隨著系統的升級來提升自身的權限。

根據報告，“一個不懷好意的應用可能會針對低版本的操作系統有策略地部署一些權限，直到它通過升級提升了在新版系統中的權限。需要特別說明的是，我們通過利用這些連環漏洞發現，這些應用不僅可以獲取一系列新添加的系統、數字簽名的權限，還可以修改系統的設置(例如：保護等級)，而且能進一步替換新系統中的應用，污染其他應用的數據(例如：緩存、Android系統默認瀏覽器的Cookies)從而偷取用戶敏感信息或者修改安全設置，甚至可以阻止系統關鍵服務的安裝。”

這使得惡意應用程序可以獲得訪問語音郵件、短信、通話記錄和其他一些被惡意應用程序控制的應用的權限。

研究人員指出，“所有Android官方版本和超過3000個定制版本都會受到這個缺陷的影響，我們通過一個程序驗證工具系統性的分析了PMS(管理系統)的源碼，并且確認了所有Android官方版本和超過3000個定制版本存在這些安全缺陷。我們的研究還鑒定了上百種可利用的漏洞，這些漏洞可能被不懷好意者廣泛應用于不同制造商、不同目標人群和不同國家的上千種設備中。”

這些缺陷已經報告給了谷歌，相關修復措施正在進行中。

[研究報告(自備梯子)]

原文地址：http://www.techworm.net/2014/03/updating-your-android-can-wake-up.html#at_pco=smlwn-1.0&at_si=535c73ff9f86ff13&at_ab=per-4&at_pos=0&at_tot=1