竊取數(shù)據(jù)

美國(guó)安全公司Trustwave高級(jí)副總裁兼SpiderLabs主管尼古拉斯-柏庫(kù)克(Nicholas Percoco)表示，開(kāi)發(fā)者可以創(chuàng)建表面看起來(lái)沒(méi)有問(wèn)題的應(yīng)用，但是當(dāng)用戶使用合法的銀行應(yīng)用時(shí)，該應(yīng)用便會(huì)啟動(dòng)虛假的銀行應(yīng)用登錄頁(yè)面。

柏庫(kù)克表示，當(dāng)用戶正在查看一款應(yīng)用時(shí)，如果還有應(yīng)用想要與用戶交流，只需要在屏幕頂端的通知欄上發(fā)布提示即可。但在Android的SDK(軟件開(kāi)發(fā)套件)中卻有一個(gè)API(應(yīng)用編程接口)，可以將特定的應(yīng)用推向前臺(tái)。

“Android允許你取消‘返回’按鈕。”Trustwave的SSL開(kāi)發(fā)者肖恩-舒爾特(Sean Schulte)說(shuō)。柏庫(kù)克則補(bǔ)充道：“正因如此，應(yīng)用可以竊取用戶的注意力，而且無(wú)法點(diǎn)擊返回按鈕或是退出。”他們已經(jīng)將該漏洞命名為“注意力竊取漏洞”。

研究人員已經(jīng)創(chuàng)建了一個(gè)驗(yàn)證工具，表面看來(lái)只是一個(gè)游戲，但卻可以彈出虛假的Facebook、亞馬遜、谷歌語(yǔ)音以及Gmail客戶端登錄界面。這款工具可以作為一款合法應(yīng)用的一部分進(jìn)行加載，并且注冊(cè)為一項(xiàng)服務(wù)，所以當(dāng)手機(jī)重啟后仍會(huì)繼續(xù)存在。

在演示過(guò)程中，當(dāng)用戶打開(kāi)這款應(yīng)用，并看到Facebook的登錄界面后，唯一有些奇怪的地方是屏幕上的一個(gè)快速閃爍的光點(diǎn)，但多數(shù)用戶都不會(huì)注意到。這個(gè)虛假屏幕與真實(shí)的登錄屏幕完全一樣，用戶無(wú)法看出其中的差異。

彈出廣告

柏庫(kù)克表示，借助這一設(shè)計(jì)缺陷，游戲和應(yīng)用開(kāi)發(fā)者可以制作精準(zhǔn)彈出廣告。這種廣告不僅非常惱人，而且可以進(jìn)行精準(zhǔn)定位：當(dāng)用戶啟動(dòng)競(jìng)爭(zhēng)對(duì)手的應(yīng)用時(shí)，便可以彈出相應(yīng)的廣告。

舒爾特表示，當(dāng)用戶下載應(yīng)用時(shí)，不會(huì)收到任何提示信息，因?yàn)锳ndroid系統(tǒng)允許應(yīng)用檢查手機(jī)使用狀態(tài)。柏庫(kù)克稱，他們幾周前就已經(jīng)與谷歌員工取得了聯(lián)系，對(duì)方承認(rèn)存在問(wèn)題，并表示將努力解決這一問(wèn)題。

谷歌發(fā)言人稱：“在應(yīng)用間切換的目的是為了鼓勵(lì)應(yīng)用之間展開(kāi)更為豐富的互動(dòng)。我們尚未發(fā)現(xiàn)Android Market中有應(yīng)用利用這項(xiàng)技術(shù)，我們將刪除所有存在這種情況的應(yīng)用。”

柏庫(kù)克則對(duì)此回應(yīng)道：“應(yīng)用切換不是問(wèn)題，關(guān)鍵問(wèn)題在于其他應(yīng)用能夠判斷哪個(gè)應(yīng)用位于前臺(tái)，并在未獲用戶許可的情況下啟動(dòng)應(yīng)用，并跳到屏幕前端。我們還發(fā)現(xiàn)，用戶根本無(wú)法區(qū)分惡意應(yīng)用和合法應(yīng)用之間的區(qū)別。”

他補(bǔ)充道，由于黑客發(fā)布應(yīng)用的速度比谷歌的反應(yīng)速度快得多，因此等到用戶匯報(bào)惡意程序之后再移除相關(guān)應(yīng)用的做法非常危險(xiǎn)。
 

【編輯推薦】

1. 主機(jī)安全：防御黑客利用DDOS進(jìn)行攻擊
2. Skype存“重大安全漏洞”
3. 快播組件漏洞公開(kāi) 360獨(dú)家防御攻擊
4. 允許遠(yuǎn)程執(zhí)行代碼的漏洞總量真的減少了？
5. 教你如何應(yīng)對(duì)(DDoS)攻擊