竊取數(shù)據(jù)

美國安全公司Trustwave高級副總裁兼SpiderLabs主管尼古拉斯-柏庫克(Nicholas Percoco)表示，開發(fā)者可以創(chuàng)建表面看起來沒有問題的應(yīng)用，但是當用戶使用合法的銀行應(yīng)用時，該應(yīng)用便會啟動虛假的銀行應(yīng)用登錄頁面。

柏庫克表示，當用戶正在查看一款應(yīng)用時，如果還有應(yīng)用想要與用戶交流，只需要在屏幕頂端的通知欄上發(fā)布提示即可。但在Android的SDK(軟件開發(fā)套件)中卻有一個API(應(yīng)用編程接口)，可以將特定的應(yīng)用推向前臺。

“Android允許你取消‘返回’按鈕。”Trustwave的SSL開發(fā)者肖恩-舒爾特(Sean Schulte)說。柏庫克則補充道：“正因如此，應(yīng)用可以竊取用戶的注意力，而且無法點擊返回按鈕或是退出。”他們已經(jīng)將該漏洞命名為“注意力竊取漏洞”。

研究人員已經(jīng)創(chuàng)建了一個驗證工具，表面看來只是一個游戲，但卻可以彈出虛假的Facebook、亞馬遜、谷歌語音以及Gmail客戶端登錄界面。這款工具可以作為一款合法應(yīng)用的一部分進行加載，并且注冊為一項服務(wù)，所以當手機重啟后仍會繼續(xù)存在。

在演示過程中，當用戶打開這款應(yīng)用，并看到Facebook的登錄界面后，唯一有些奇怪的地方是屏幕上的一個快速閃爍的光點，但多數(shù)用戶都不會注意到。這個虛假屏幕與真實的登錄屏幕完全一樣，用戶無法看出其中的差異。

彈出廣告

柏庫克表示，借助這一設(shè)計缺陷，游戲和應(yīng)用開發(fā)者可以制作精準彈出廣告。這種廣告不僅非常惱人，而且可以進行精準定位：當用戶啟動競爭對手的應(yīng)用時，便可以彈出相應(yīng)的廣告。

舒爾特表示，當用戶下載應(yīng)用時，不會收到任何提示信息，因為Android系統(tǒng)允許應(yīng)用檢查手機使用狀態(tài)。柏庫克稱，他們幾周前就已經(jīng)與谷歌員工取得了聯(lián)系，對方承認存在問題，并表示將努力解決這一問題。

谷歌發(fā)言人稱：“在應(yīng)用間切換的目的是為了鼓勵應(yīng)用之間展開更為豐富的互動。我們尚未發(fā)現(xiàn)Android Market中有應(yīng)用利用這項技術(shù)，我們將刪除所有存在這種情況的應(yīng)用。”

柏庫克則對此回應(yīng)道：“應(yīng)用切換不是問題，關(guān)鍵問題在于其他應(yīng)用能夠判斷哪個應(yīng)用位于前臺，并在未獲用戶許可的情況下啟動應(yīng)用，并跳到屏幕前端。我們還發(fā)現(xiàn)，用戶根本無法區(qū)分惡意應(yīng)用和合法應(yīng)用之間的區(qū)別。”

他補充道，由于黑客發(fā)布應(yīng)用的速度比谷歌的反應(yīng)速度快得多，因此等到用戶匯報惡意程序之后再移除相關(guān)應(yīng)用的做法非常危險。