据中国新闻网报道,3月17日,移动安全专家曾经发现,Google于3月份修复了一项早已出现10年的漏洞,它可被利用,让攻击者在未经许可的情况下接管大量应用程序(像GMail等应用)的控制权。
由于安卓拥有全球三分之二以上的智能手机市场份额,因此可能会从中受害者数量不在少数。据了解,此漏洞已被编号为CVE-2020-0022,是Android的系统服务中的一个漏洞,即使用户没有授予网络权限,攻击者仍可以轻松远程执行恶意代码并接管设备。
针对该漏洞的攻击者可通过发送特制的网络数据包来触发漏洞,以读/写Android系统文件的方式获取与该服务相关的进程的访问权限。属性认证服务被用来注册系统属性,和接收相关的广播。当一个属性被注册之后,任何应用都可以使用contexthandle,来监视属性变化并且以需求的方式触发改变。
如何进行风险防范?
- 即时更新系统
- 尽可能避免使用有漏洞的应用
- 避免连接不可靠网络
- 根据实际需求授权应用程序的权限
- 使用定制ROM之类的第三方安全软件
