发现Android漏洞 或被用于钓鱼攻击

安全
研究人员上周六披露了Android的一个漏洞,犯罪分子可以利用该漏洞窃取用户数据,而广告主可以借此发布恼人的弹出式广告。

窃取数据

美国安全公司Trustwave高级副总裁兼SpiderLabs主管尼古拉斯-柏库克(Nicholas Percoco)表示,开发者可以创建表面看起来没有问题的应用,但是当用户使用合法的银行应用时,该应用便会启动虚假的银行应用登录页面。

柏库克表示,当用户正在查看一款应用时,如果还有应用想要与用户交流,只需要在屏幕顶端的通知栏上发布提示即可。但在Android的SDK(软件开发套件)中却有一个API(应用编程接口),可以将特定的应用推向前台。

“Android允许你取消‘返回’按钮。”Trustwave的SSL开发者肖恩-舒尔特(Sean Schulte)说。柏库克则补充道:“正因如此,应用可以窃取用户的注意力,而且无法点击返回按钮或是退出。”他们已经将该漏洞命名为“注意力窃取漏洞”。

研究人员已经创建了一个验证工具,表面看来只是一个游戏,但却可以弹出虚假的Facebook、亚马逊、谷歌语音以及Gmail客户端登录界面。这款工具可以作为一款合法应用的一部分进行加载,并且注册为一项服务,所以当手机重启后仍会继续存在。

在演示过程中,当用户打开这款应用,并看到Facebook的登录界面后,唯一有些奇怪的地方是屏幕上的一个快速闪烁的光点,但多数用户都不会注意到。这个虚假屏幕与真实的登录屏幕完全一样,用户无法看出其中的差异。

弹出广告

柏库克表示,借助这一设计缺陷,游戏和应用开发者可以制作精准弹出广告。这种广告不仅非常恼人,而且可以进行精准定位:当用户启动竞争对手的应用时,便可以弹出相应的广告。

舒尔特表示,当用户下载应用时,不会收到任何提示信息,因为Android系统允许应用检查手机使用状态。柏库克称,他们几周前就已经与谷歌员工取得了联系,对方承认存在问题,并表示将努力解决这一问题。

谷歌发言人称:“在应用间切换的目的是为了鼓励应用之间展开更为丰富的互动。我们尚未发现Android Market中有应用利用这项技术,我们将删除所有存在这种情况的应用。”

柏库克则对此回应道:“应用切换不是问题,关键问题在于其他应用能够判断哪个应用位于前台,并在未获用户许可的情况下启动应用,并跳到屏幕前端。我们还发现,用户根本无法区分恶意应用和合法应用之间的区别。”

他补充道,由于黑客发布应用的速度比谷歌的反应速度快得多,因此等到用户汇报恶意程序之后再移除相关应用的做法非常危险。

责任编辑:Oo小孩儿 来源: 比特网
相关推荐

2011-08-10 13:47:38

2021-12-14 11:53:26

微软谷歌OAuth漏洞

2014-11-04 11:19:51

2024-04-30 11:08:42

2015-02-04 15:35:37

2021-10-26 08:50:42

钓鱼工具TodayZoo攻击

2014-10-15 14:27:31

2015-01-27 11:31:06

2023-03-16 19:23:39

2023-08-03 17:57:43

2020-02-17 09:53:57

漏洞DDoS攻击

2017-12-21 07:47:41

2021-07-07 05:45:37

钓鱼攻击邮件安全网络攻击

2011-05-23 14:34:01

2014-06-03 10:56:20

2009-11-10 10:33:10

2021-01-25 10:45:10

DDoSRDP服务器Windows

2021-11-05 19:24:39

漏洞网络安全DDoS攻击

2014-06-06 14:12:40

点赞
收藏

51CTO技术栈公众号