竊取數(shù)據(jù)

美國安全公司Trustwave高級副總裁兼SpiderLabs主管尼古拉斯-柏庫克(Nicholas Percoco)表示，開發(fā)者可以創(chuàng)建表面看起來沒有問題的應用，但是當用戶使用合法的銀行應用時，該應用便會啟動虛假的銀行應用登錄頁面。

柏庫克表示，當用戶正在查看一款應用時，如果還有應用想要與用戶交流，只需要在屏幕頂端的通知欄上發(fā)布提示即可。但在Android的SDK(軟件開發(fā)套件)中卻有一個API(應用編程接口)，可以將特定的應用推向前臺。

“Android允許你取消‘返回’按鈕。”Trustwave的SSL開發(fā)者肖恩-舒爾特(Sean Schulte)說。柏庫克則補充道：“正因如此，應用可以竊取用戶的注意力，而且無法點擊返回按鈕或是退出。”他們已經(jīng)將該漏洞命名為“注意力竊取漏洞”。

研究人員已經(jīng)創(chuàng)建了一個驗證工具，表面看來只是一個游戲，但卻可以彈出虛假的Facebook、亞馬遜、谷歌語音以及Gmail客戶端登錄界面。這款工具可以作為一款合法應用的一部分進行加載，并且注冊為一項服務，所以當手機重啟后仍會繼續(xù)存在。

在演示過程中，當用戶打開這款應用，并看到Facebook的登錄界面后，唯一有些奇怪的地方是屏幕上的一個快速閃爍的光點，但多數(shù)用戶都不會注意到。這個虛假屏幕與真實的登錄屏幕完全一樣，用戶無法看出其中的差異。

彈出廣告

柏庫克表示，借助這一設計缺陷，游戲和應用開發(fā)者可以制作精準彈出廣告。這種廣告不僅非常惱人，而且可以進行精準定位：當用戶啟動競爭對手的應用時，便可以彈出相應的廣告。

舒爾特表示，當用戶下載應用時，不會收到任何提示信息，因為Android系統(tǒng)允許應用檢查手機使用狀態(tài)。柏庫克稱，他們幾周前就已經(jīng)與谷歌員工取得了聯(lián)系，對方承認存在問題，并表示將努力解決這一問題。

谷歌發(fā)言人稱：“在應用間切換的目的是為了鼓勵應用之間展開更為豐富的互動。我們尚未發(fā)現(xiàn)Android Market中有應用利用這項技術，我們將刪除所有存在這種情況的應用。”

柏庫克則對此回應道：“應用切換不是問題，關鍵問題在于其他應用能夠判斷哪個應用位于前臺，并在未獲用戶許可的情況下啟動應用，并跳到屏幕前端。我們還發(fā)現(xiàn)，用戶根本無法區(qū)分惡意應用和合法應用之間的區(qū)別。”

他補充道，由于黑客發(fā)布應用的速度比谷歌的反應速度快得多，因此等到用戶匯報惡意程序之后再移除相關應用的做法非常危險。
 

【編輯推薦】

1. 主機安全：防御黑客利用DDOS進行攻擊
2. Skype存“重大安全漏洞”
3. 快播組件漏洞公開 360獨家防御攻擊
4. 允許遠程執(zhí)行代碼的漏洞總量真的減少了？
5. 教你如何應對(DDoS)攻擊