CM Security(金山手机毒霸)发现安卓系统存在一个高危漏洞:安卓系统利用该漏洞无须申请电话权限,也能拨打任意电话,包括利用拨号盘拨打特殊号码执行系统指令,比如清空手机数据。CM Security已紧急升级,阻止安卓恶意程序利用电话权限漏洞。
“正常安卓程序如果需要拨打电话,必须在安装前申请系统权限,用户可以使用金山手机毒霸管理手机里的应用软件是否可以使用系统权限。” CM Security安全专家解释说,“现在,由于电话权限漏洞的出现,恶意程序可以绕过系统限制来达到恶意目的。”
图1 金山手机毒霸管理安卓应用申请的系统权限
CM Security实验室检查发现安卓电话权限漏洞影响安卓4.1、4.2、4.4.2的大部分用户,总量占到全球安卓手机的59%,实测验证发现下列主流安卓手机均存在电话权限漏洞。
设备版本
Galaxy Note 14.4.2
Galaxy Note 24.1.1
Nexus 44.4.2
Nexus 54.4
SAMSUNG GT-I826D4.1.2
SONY c21054.1.2
电话权限漏洞的危害
攻击者利用安卓电话漏洞绕过系统权限管理,可以直接后台拨打声讯台、国际长途电话等付费电话,给用户造成经济损失。恶意程序还可随意中断正常程序拨打电话,对使用手机造成干扰。最为严重的是,恶意程序可以通过手机拨号盘拨打特殊号码启动手机内置管理功能,比如瞬间将手机恢复至出厂状态,清空所有手机数据等。
CM Security实验室已紧急升级Clean Master(猎豹清理大师)和CM Security(金山手机毒霸),以拦截利用电话权限漏洞攻击的安卓恶意软件。建议用户尽量通过相对可靠的安卓软件市场下载应用,勿轻易通过聊天工具、论坛等非正规渠道下载。
图2 金山手机毒霸拦截利用电话权限漏洞的安卓病毒