發(fā)現(xiàn)Android漏洞 或被用于釣魚攻擊
竊取數(shù)據(jù)
美國(guó)安全公司Trustwave高級(jí)副總裁兼SpiderLabs主管尼古拉斯-柏庫(kù)克(Nicholas Percoco)表示,開發(fā)者可以創(chuàng)建表面看起來(lái)沒有問題的應(yīng)用,但是當(dāng)用戶使用合法的銀行應(yīng)用時(shí),該應(yīng)用便會(huì)啟動(dòng)虛假的銀行應(yīng)用登錄頁(yè)面。
柏庫(kù)克表示,當(dāng)用戶正在查看一款應(yīng)用時(shí),如果還有應(yīng)用想要與用戶交流,只需要在屏幕頂端的通知欄上發(fā)布提示即可。但在Android的SDK(軟件開發(fā)套件)中卻有一個(gè)API(應(yīng)用編程接口),可以將特定的應(yīng)用推向前臺(tái)。
“Android允許你取消‘返回’按鈕。”Trustwave的SSL開發(fā)者肖恩-舒爾特(Sean Schulte)說(shuō)。柏庫(kù)克則補(bǔ)充道:“正因如此,應(yīng)用可以竊取用戶的注意力,而且無(wú)法點(diǎn)擊返回按鈕或是退出。”他們已經(jīng)將該漏洞命名為“注意力竊取漏洞”。
研究人員已經(jīng)創(chuàng)建了一個(gè)驗(yàn)證工具,表面看來(lái)只是一個(gè)游戲,但卻可以彈出虛假的Facebook、亞馬遜、谷歌語(yǔ)音以及Gmail客戶端登錄界面。這款工具可以作為一款合法應(yīng)用的一部分進(jìn)行加載,并且注冊(cè)為一項(xiàng)服務(wù),所以當(dāng)手機(jī)重啟后仍會(huì)繼續(xù)存在。
在演示過(guò)程中,當(dāng)用戶打開這款應(yīng)用,并看到Facebook的登錄界面后,唯一有些奇怪的地方是屏幕上的一個(gè)快速閃爍的光點(diǎn),但多數(shù)用戶都不會(huì)注意到。這個(gè)虛假屏幕與真實(shí)的登錄屏幕完全一樣,用戶無(wú)法看出其中的差異。
彈出廣告
柏庫(kù)克表示,借助這一設(shè)計(jì)缺陷,游戲和應(yīng)用開發(fā)者可以制作精準(zhǔn)彈出廣告。這種廣告不僅非常惱人,而且可以進(jìn)行精準(zhǔn)定位:當(dāng)用戶啟動(dòng)競(jìng)爭(zhēng)對(duì)手的應(yīng)用時(shí),便可以彈出相應(yīng)的廣告。
舒爾特表示,當(dāng)用戶下載應(yīng)用時(shí),不會(huì)收到任何提示信息,因?yàn)锳ndroid系統(tǒng)允許應(yīng)用檢查手機(jī)使用狀態(tài)。柏庫(kù)克稱,他們幾周前就已經(jīng)與谷歌員工取得了聯(lián)系,對(duì)方承認(rèn)存在問題,并表示將努力解決這一問題。
谷歌發(fā)言人稱:“在應(yīng)用間切換的目的是為了鼓勵(lì)應(yīng)用之間展開更為豐富的互動(dòng)。我們尚未發(fā)現(xiàn)Android Market中有應(yīng)用利用這項(xiàng)技術(shù),我們將刪除所有存在這種情況的應(yīng)用。”
柏庫(kù)克則對(duì)此回應(yīng)道:“應(yīng)用切換不是問題,關(guān)鍵問題在于其他應(yīng)用能夠判斷哪個(gè)應(yīng)用位于前臺(tái),并在未獲用戶許可的情況下啟動(dòng)應(yīng)用,并跳到屏幕前端。我們還發(fā)現(xiàn),用戶根本無(wú)法區(qū)分惡意應(yīng)用和合法應(yīng)用之間的區(qū)別。”
他補(bǔ)充道,由于黑客發(fā)布應(yīng)用的速度比谷歌的反應(yīng)速度快得多,因此等到用戶匯報(bào)惡意程序之后再移除相關(guān)應(yīng)用的做法非常危險(xiǎn)。
【編輯推薦】
