---

※ 本文轉寄自 GeniusKiKi.bbs@ptt.cc

---

Android繼先前簡訊亂放、系統重開或忽然沒訊號等狀況後，最近在安全漏洞方面也是狀
況連連，除了前陣子傳出包裝成熱門軟體的惡意程式進駐Android Market外，隨後又被人
發現走安全漏洞的問題。


根據The Register網站報導指出，資訊安全研究機構Duo Security的創辦人暨技術長Jon
Oberheide透露，他們發現在一般網頁中所存在的XSS漏洞問題，對Android平台也會有所
影響。目前Android Market已提供網頁瀏覽版本，可提供直接點按軟體下載後透過推撥方
式傳送到手機安裝，但其中最大的問題便是：過程中並不會在手機上確認使用者是否同意
安裝。

換句話說，假使駭客們透過這項漏洞製作一組惡意程式，那麼便可直接藉由瀏覽器向手機
送出App安裝的訊息，進而侵入使用者手機後端竊取內容，甚至執行相關功能，同時侵入
行為並不會讓使用者察覺。


不過Google官方隨後也由發言人透過電子郵件說明，事實上當推撥至手機時是有相關提示
 (只是不明顯…因為是在系統列上以小圖示呈現)，但Jon Oberheide隨後也回應表示若使
用者安裝惡意程式後，即便有相關提示訊息也會立即被該程式移除。

而在更早之前，行動資安廠商Lookout也曾表示在Android Market中發現名為「
DroidDream」的惡意程式，其啟動時間被設定在晚間11至早上8點，執行時將會在使用者
手機內部安裝另一組程式，並且將手機內容往外送。雖然Lookout在後續提供相關掃描軟
體，協助確認手機是否遭受感染，不過若想將惡意程式完全移除，基本上還是得透過
Google官方所提供的掃描工具進行清除。

看起來Android最近還真的頗為不順，建議使用者在安裝任何軟體之前，最好再三確認App
內容來源是否正常。



http://tinyurl.com/4tysb6t

--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 163.25.118.133


--