Android系统曝出多处“Pileup漏洞”

印第安纳大学系统安全实验室(System Security Lab at Indiana University)和微软研究院昨日晚间发布报告称，他们在Android系统源码中发现多处漏洞，该漏洞允许黑客在Android用户进行系统升级时发动恶意攻击。

报告称，将Android设备的操作系统升级到最版本是确保智能手机和平板电脑安全的最佳方式之一。但研究人员经过对当前的Android升级机制进行研究后发现，事实并非如此。

研究人员称，Android系统存在多处安全漏洞，允许黑客开发一些看似很安全的应用潜伏在系统中。一旦用户对Android系统进行升级，这些应用就会露出“狰狞”面目。报告称，这些应用可以未经用户允许就在升级过程中获得一些至关重要的能力，如自动获取新版本系统中所引入的所有新的权限，用恶意应用取代系统级应用，将恶意脚本植入任意网页中等等。

研究人员将该漏洞称为“Pileup漏洞”，即通过升级过程获得未经许可的更高授权。在Android系统源码中，研究人员共发现六类Pileup漏洞，且这些漏洞存在于当前所有Android版本中。

值得庆幸的是，到目前为止这些漏洞尚未被黑客广泛利用。但研究人员表示，黑客会利用这份研究报告开发出自己的Pileup攻击。为解决该问题，印第安纳大学系统安全实验室已经在Google Play和亚马逊App Store应用商店内发布了免费的应用“Secure Update Scanner”，限制其他应用在用户升级时获取更高权限。

印第安纳大学系统安全实验室和微软研究院计划在今年5月的“IEEE安全与隐私研讨会”上发布该研究报告，并详细展示如何利用该漏洞发起攻击。