这种连环缺陷(通过升级提升权限)允许恶意软件随着系统的升级来提升自身的权限。
根据报告,“一个不怀好意的应用可能会针对低版本的操作系统有策略地部署一些权限,直到它通过升级提升了在新版系统中的权限。需要特别说明的是,我们通过利用这些连环漏洞发现,这些应用不仅可以获取一系列新添加的系统、数字签名的权限,还可以修改系统的设置(例如:保护等级),而且能进一步替换新系统中的应用,污染其他应用的数据(例如:缓存、Android系统默认浏览器的Cookies)从而偷取用户敏感信息或者修改安全设置,甚至可以阻止系统关键服务的安装。”
这使得恶意应用程序可以获得访问语音邮件、短信、通话记录和其他一些被恶意应用程序控制的应用的权限。
研究人员指出,“所有Android官方版本和超过3000个定制版本都会受到这个缺陷的影响,我们通过一个程序验证工具系统性的分析了PMS(管理系统)的源码,并且确认了所有Android官方版本和超过3000个定制版本存在这些安全缺陷。我们的研究还鉴定了上百种可利用的漏洞,这些漏洞可能被不怀好意者广泛应用于不同制造商、不同目标人群和不同国家的上千种设备中。”
这些缺陷已经报告给了谷歌,相关修复措施正在进行中。
