Android系统频频惊现漏洞，并随之产生各种系统安全问题。近日，有国外媒体报道称Android系统再现框架层的注入漏洞,通过该漏洞攻击者可以执行某些特定代码或绕过某些安全检查，从而让Android手机面临危险。

　　据腾讯手机管家安全专家分析，Android框架层的注入漏洞形成的原因是因为Android框架支持在Activity包含多个Fragment的以展示界面。而Preference Activity是一个支持Fragment的基类activity，其会根据传入的参数EXTRA_SHOW_FRAGMENT, (‘:android:show_fragment’)动态创建fragment而现实相应的界面, 问题就出在Preference Activity没有检查传入的参数, 盲目的根据传入的参数构建对象。漏洞的主要原理是如果extend了PreferenceActivity的activity是属性为export，只要通过intent输入适当的extra就可以调用其内部的任意fragment。

　　图：Fragment和activity的关系

　　目前Google在最新的Android 4.4 KitKat系统已经修复了该漏洞问题，但是该漏洞还普遍存在于Android3.x-4.3的系统版本中，当有Activity继承Preference Activity类并且被声明成export=true的时候就具备了被攻击的条件，这很可能会遭到黑客的恶意利用。

　　图：盲目构建对象的点

　　腾讯手机管家安全专家建议，广大应用开发者不要在构造函数和静态构造函数执行逻辑操作，也不要将activity声明为export=true，可避免被攻击者触发漏洞。

　　另据了解，腾讯手机管家此前已相继率先修复MasterKey签名、短信欺诈、S4云备份等各类安卓系统漏洞。