Android再现应用权限缺陷 要到第8版才会修正

　　世界上就不存在“天衣无缝”的软件，无论多么安全的软件，黑客总是能找到攻击方法——无论是通过故障(bug)，还是安全漏洞。虽然Android问世已经多年，安全厂商最近还是在其中发现了一处缺陷。

　　Check Point通过博文披露了在Android中发现的一处安全缺陷，为勒索件、银行恶意件和广告件兴风作浪提供了可能。这一缺陷的根由，在于Android Marshmallow引入的一种权限类别，其本意是允许用户以手动方式批准应用请求手机权限。

　　Ubergizmo 表示，Check Point在博文中称，“由于谷歌理解这一权限的问题，以及对用户隐私的威胁，它创造了批准这一权限的独特过程。但是，这很快出了问题，因为这一权限也被合法应用所使用——例如Facebook Messenger。由于大多数用户不能以手动方式批准这一权限，这类应用会因此受到影响。”

　　作为一种临时性解决方案，谷歌在Android 6.0.1中包含了一款补丁软件，使Play Store应用能授予运行时权限——之后被用来向通过Play Store安装的应用授予SYSTEM_ALERT_WINDOW权限。这意味着，直接从Play Store安装的恶意应用会自动获得这一危险的权限。

　　Ubergizmo称，好消息是，谷歌在即将发布的Android O(第8版Android)中修正了这一缺陷，但坏消息是，在Android O发布前这一缺陷不会得到修正，除非谷歌决定尽早修正这一缺陷——目前尚不清楚谷歌是否会这样做。在此期间，如果想防止手机感染恶意件，用户最好不要安装可疑的应用。