谷歌在安卓的安全性上不断的采取各种举措来降低用户对安卓安全性的担忧,提升安全性,过去多年谷歌在安卓安全领域已经取得了巨大的成就,不过今天曝光的漏洞又够安卓安全团队喝一壶的,相关安全领域研究员又发现了一组漏洞(注意是一组),影响目前所有的安卓系统,甚至最新的安卓7.1.2.针对这些漏洞的攻击允许恶意应用程序完全控制UI反馈循环并接管设备,而甚至不会给用户注意到的机会,这些攻击只需要两个权限,如果应用程序是从Play Store安装的,则用户不需要明确授权,甚至不会通知用户。 研究表明这些攻击是有效的且会影响所有最新版本的Android(包括最新版本的Android 7.1.2),并且尚未被修复。
谷歌对此的申明是已经升级了Google Play Protect,并已经在漏洞曝光前不让用户下载这些恶意软件,但是安全研究人员的研究表明安卓7.1.2的补丁只修复了部分漏洞,攻击者依然可以使用其他漏洞来开启这些权限,而这些依然在熄屏情况下就可以实现,用户可能对此知道个毛线。
也就是说,安全研究者认为用户被攻击的可能性依然存在,漏洞被没有完全被封堵。