谷歌不会在“安卓O”发布前修补安卓系统的关键缺陷

更糟糕的是，谷歌表示，在“安卓O”版本发布之前，不会对其进行修补。安卓O版本定于今年第三季度发布。

更糟、更糟、更糟的是，数百万用户仍在等待设备制造商（OEM）的Android N更新，这显然意味着大多数智能手机用户将在至少一年内继续受到勒索软件、广告软件和银行特洛伊木马的侵害。

据发现这一严重缺陷的检查点安全研究人员称，问题源于名为“SYSTEM_ALERT_WINDOW”的新权限，该权限允许应用程序在设备屏幕和其他应用程序顶部重叠。

这与Facebook Messenger在你的屏幕上浮动并在有人想聊天时弹出的功能相同。

从2015年10月推出的安卓棉花糖（6版）开始，谷歌更新了其政策，默认情况下，将这一极其敏感的权限授予直接从谷歌官方Play商店安装的所有应用程序。

这一让恶意应用程序劫持设备屏幕的功能是网络犯罪分子和黑客利用最广泛的方法之一，用来诱骗不知情的安卓用户成为恶意软件和网络钓鱼诈骗的受害者。

“根据我们的调查结果，74%的勒索软件、57%的广告软件和14%的银行恶意软件在其操作中滥用该许可。这显然不是一个小威胁，而是在野外使用的一种实际策略，”检查站研究人员指出。

谷歌一直在使用一个名为Bouncer的自动恶意软件扫描仪来查找恶意应用，并阻止它们进入谷歌Play商店。

不幸的是，众所周知，Google Bouncer不足以将所有恶意软件排除在市场之外，我们的读者在定期进行安全更新后，会更好地了解频繁出现的标题，如“play store上发现勒索软件应用”、“数百个感染了针对play store用户的广告软件的应用”

最近，研究人员发现Play Store上有几个安卓应用程序携带“BankBot banking特洛伊木马”，这些应用程序滥用SYSTEM_ALERT_WINDOW权限，显示与每个目标银行应用程序登录页面相同的覆盖图，并窃取受害者的银行密码。

这意味着，尽管如此，谷歌Play Store上仍有数量不详的恶意应用程序配备了这种危险的权限，这可能会威胁数百万安卓用户的安全。

“在Check Point报告了这个漏洞后，谷歌回应称，它已经制定了计划，在即将发布的版本“Android O”中保护用户免受这种威胁。”

“这将通过创建一个名为TYPE_APPLICATION_OVERLAY的新限制性权限来实现，该权限可阻止窗口位于任何关键系统窗口之上，允许用户访问设置并阻止应用程序显示警报窗口。”

同时，建议用户小心可疑的应用，即使是从谷歌Play商店下载。

此外，尽量只使用受信任的品牌，并始终查看其他用户留下的评论。

在安装应用程序之前，请始终验证应用程序权限，如果希望安全，请仅授予那些与应用程序用途相关的权限。