IBM：安卓特权提升漏洞可影响55%设备

　　安卓近日又爆出了一个新漏洞，根据IBM旗下X-Force应用安全研究团队的研究人员称，安卓和某些热门App的SDK中存在一套漏洞，可以让黑客通过一些本来无害的App在设备上运行任意代码。这个漏洞可以影响全球55%的安卓设备，非常恶劣。

　　据悉，该漏洞会影响安卓版本4.3及以上的设备。该漏洞主要是归咎于安卓在进程间通讯（IPC）时的薄弱代码，更具体点说就是OpenSSLX509Certificate类。攻击者在无需特殊权限的情况下，利用该漏洞将恶意代码诸如到IPC请求队列中，如此一来，该应用就能够获得系统级的权限。

漏洞演示视频

　　Google和SDK的开发商都已经提供了修复补丁。不过，如果是非Nexus设备，很有可能无法获得补丁修复推送。所幸的是，研究人员表示目前这个漏洞尚未被其他人利用。研究人员调查了37701款App，有许多都涉及了该漏洞，甚至有些应用依赖于高达6个的风险SDK。攻击者通过SWIG低级别工具包即可轻松向目标注入代码，虽然还没有这种情况出现，但风险还是很高的。

　　如果你是对此感兴趣的技术人员，可以点此查看已经发表在IBM Security的研究论文。

【推荐】用PConline官方客户端下载