8月8日消息，據(jù)國外媒體報道，研究人員發(fā)現(xiàn)谷歌Android移動操作系統(tǒng)軟件有一個設(shè)計漏洞。犯罪分子利用這個漏洞能夠通過釣魚攻擊竊取用戶數(shù)據(jù)，廣告商利用這個漏洞能夠向手機發(fā)送討厭的彈出式廣告。

Trustwave高級高級副總裁兼SpiderLabs實驗室負責(zé)人Nicholas Percoco在DefCon黑客會議上發(fā)表這項研究成果之前稱，開發(fā)人員能夠創(chuàng)建表面上無害的應(yīng)用程序。當(dāng)用戶正在使用合法的銀行應(yīng)用程序的時候，這個應(yīng)用程序顯示一個假冒的銀行應(yīng)用程序登錄頁。

目前，要與用戶進行溝通的應(yīng)用程序在發(fā)現(xiàn)不同的應(yīng)用程序的時候會在顯示屏上面的工具條中發(fā)出警告。但是，Android軟件開發(fā)工具中的應(yīng)用程序編程接口能夠用來把一個應(yīng)用程序推向前臺。

Trustwave的安全套階層（SSL）開發(fā)人員Sean Schulte稱，Android允許用戶取消點擊返回按鈕的標準。因此，這個應(yīng)用程序能夠竊取這個重點。用戶不能點擊返回鍵退出。研究人員把這個漏洞稱作重點竊取安全漏洞。

研究人員創(chuàng)建了一個概念證明工具。這個工具是一款游戲，但是，能夠顯示假冒的Facebook、亞馬遜和谷歌語音等應(yīng)用程序。這個工具在安裝自己的時候是以作為合法的應(yīng)用程序的一部分安裝的并且注冊為一項服務(wù)。因此，在手機起到之后，這個程序就恢復(fù)了。

在演示中，這些假冒的網(wǎng)頁完全取代了合法的網(wǎng)頁，因此，用戶看不出什么區(qū)別。

Percoco稱，由于這個設(shè)計漏洞，游戲或者應(yīng)用程序開發(fā)人員能夠創(chuàng)建有針對性的彈出式廣告。