將近一半的安卓設備包含這個漏洞，可將惡意軟件替代合法APP，并收集手機中的敏感信息。谷歌、三星和亞馬遜已經(jīng)發(fā)布了各自設備的補丁，但仍有49.5%的安卓用戶依然容易造到攻擊。谷歌官方表示，并未檢測到利用此漏洞的攻擊。

　　這個漏洞稱為“安卓安裝器劫持”(Android Installer Hijacking)，它能夠被利用獲得設備的完全訪問權(quán)，包括獲取用戶名和密碼等敏感數(shù)據(jù)。研究人員已經(jīng)寫了兩個利用程序，其中包括如何安裝APK(手機應用程序，即APP的安裝包)。

　　發(fā)現(xiàn)這個漏洞的安全公司Palo Alto的研究人員表示，該漏洞只影響第三方應用商店安裝的APP。

　　從第三方應用商店中下載的應用會把APK安裝文件放在未受保護的本地存儲區(qū)，如SD卡。然后，一個名為“包安裝器”(PackageInstaller)的系統(tǒng)應用來完成安裝。而該漏洞允許APK文件在安裝的時候被更改或替代，而且沒有通知。

　　攻擊過程：

　　用戶下載似乎是合法的APP，安裝時APP要求用戶許可設備的一些使用權(quán)限。在此過程中，APK文件在系統(tǒng)后臺被更改或替換，但“包安裝器”卻無法察覺。也就是說在點擊“安裝”之后，包安裝器實際上安裝的是另一個APP。而且該攻擊過程并不需要root權(quán)限。

　　此漏洞早在2014年1月就被發(fā)現(xiàn)，當時接近90%的Android設備受到影響?，F(xiàn)在雖然已經(jīng)下降到49.5%，但仍然是一個龐大的數(shù)字，意味成數(shù)百萬甚至上千萬用戶的個人信息處于危險之中。研究人員寫的利用程序成功攻陷了安卓2.3/4.0.4到4.0.4/4.1.x/4.2.x等版本，以及一些4.3版本的設備，4.4版本則不受影響。

　　谷歌已經(jīng)發(fā)布了相關補丁，但一些手機廠商還沒有更新補丁。建議用戶要格外注意從第三方應用商店下載的APP。