你可能不常用,但降級安卓手機預裝的舊版本應用程式實際上是一個非常重要的功能。當某個應用程式因為資料損壞而無法正常運作時,能夠使用舊版本來修復問題也許是你唯一的選擇。此外,如果你想重新升級到最新版手機商店中的最新版本,就可以透過降級的功能來清潔地開始了。但是在安卓最新的安全補丁中,一個小變化現在使得該程序更加安全。
現在,無法再降級到安裝在你的手機上的舊應用程式版本。如果你是安卓專家Mishaal Rahman,他為Esper撰寫文章發現了這一事實。五月二零二二年的安全補丁注意書透露了該漏洞CVE-2023-21116現在已經被關閉。這意味著在生產裝置上,不再能夠降級到手機原廠出貨時的舊應用程式版本。 Rahman指出,即使如此,當你使用可測試用的debuggable build進行測試時仍然可以降級。
該安全問題被標記為中等,因為它需要實體存取裝置以便攻擊者能夠利用這個漏洞。 ADB存取是必備條件才能讓降級程序工作,而通常只有攻擊者取得了實體裝置的存取權才會有機會得到AAB存取權。因此,這種情況不太可能在真正的黑客手中發生,至少沒有對常見人群造成任何威脅的人被視為是高度值得打劫的目標。
降級到舊版本應用程式的危險性來自於它們可能會展現出已經修復在新版本中的安全問題。這是一個普遍存在的問題,但對系統應用程式而言,這種情況尤其嚴重,因為許多系統應用程式具有較高的權限,而你從手機商店安裝的應用程式則不具備這些權限。
Mishaal Rahman提到Samsung Text-to-speech app是一個可能的犯人,因為它在二零一九年就修復了安全問題。該漏洞使得Samsung系統應用程式可以給其他應用程式賦予更高的權限。 一旦Samsung手機更新到五月二零二二年的安全補丁後,就不會再有黑客能夠降級到舊版本的Samsung Text-to-speech app並利用該漏洞。
