安卓又曝新漏洞:用户界面设计也能被黑

据phoneArena网站报道,作为全球用户最多的智能手机操作系统,Android吸引黑客兴趣并不让人感到意外。谷歌每月发布软件更新包,修正Android中已知缺陷和漏洞,不断努力提高Android智能手机安全性的原因,就在于此。但是,造成缺陷的并非只是代码中的错误,Android用户界面中部分深思熟虑的特性,似乎也会使移动设备面临风险。

一个小型安全团队最近披露了Android用户界面中的“设计问题”,据他们称,网络犯罪分子可以利用这些“设计问题”,神不知鬼不觉地从运行Android 7.1.2或早期版本Android的智能手机中窃取密码和个人数据。

phoneArena表示,安全专家描述了一种被称作“Cloak & Dagger”的新技术,黑客可以利用“Cloak & Dagger”,使恶意应用通过隐蔽但不设防的“一扇门”潜入智能手机。黑客利用“Cloak & Dagger”兴风作浪只需要两个权限:第一种权限对所谓的“draw on top”(用于在其他应用元素之上绘制窗口或应用元素)特性提供支持;第二种权限是“a11y”,被用来向残疾用户提供帮助的界面特性。但一旦被授予后,这两种权限使黑客能完成各种恶意攻击,例如记录用户输入的每个词汇——其中包括密码,安装具有能完全控制移动设备所需权限的恶意应用。

黑客能秘密发动攻击的原因是,这两种权限的处理方式不同于传统权限,例如定位或WiFi使用。系统不会询问用户是否授予应用权限,“draw on top”权限会自动授予要求它的应用,例如Facebook Messenger。这种方式还使得应用能在用户不知情的情况下获得“a11y”权限。

phoneArena称,但事情并非像表面上看起来那样恐怖。首先,Android用户界面缺陷是由安全专家而非黑客披露的,目前尚没有利用“Cloak & Dagger”的已知攻击或病毒出现。此外,所有相关信息已经提交给谷歌,因此它可能将在即将发布的软件更新包中解决这一问题。事实上,谷歌已经在为其Android O平台开发补丁软件,限止应用在系统用户界面上绘制其他元素。

如果在安装应用时谨慎一些,用户也无需过于担心“Cloak & Dagger”攻击,例如下载Google Play上受信任开发者发布的应用,在安装前阅读用户评论。

如果用户想更进一步,解决自动授予权限的问题很容易。在Android 7.1.2中,用户可以依次打开“设置>应用>设置>特殊权限>在其他应用上绘制”,关闭“draw on top”权限;用户可以在“设置>无障碍>服务”中查看哪些应用要求“a11y”权限。

关于我们| 网站导航| 广告服务| 友情链接| 版权所有| 招聘信息| 帮助信息| 网上调查| 联系我们