在8月初舉行的駭客大會 Defcon 19 上,有資安公司 Trustwave 員工表示他們發現在 Android 系統設計潛在嚴重安全漏洞,而且後果可大可小,輕則彈出令人反感的 Pop-up 廣告,重則遇到假冒登入頁的釣魚網站,收集使用者的個人資料或信用卡資訊以從事非法活動。

資安公司 Trustwave 的開發人員 Sean Schulte 稱,Android 是個多工的作業環境,如果在同一時間運行多款 App 的時候,個別 App 要發出提醒或者推送資訊給使用者,都會透過螢幕頂端的通知欄上顯示。但除此之外,原來 Android SDK 開發套件還提供另一個辦法,容許物件(Object)能夠隨時自行彈出,讓用家在不知情的情況下被帶至另一個頁面。

Sean Schulte 表示這個設計上的漏洞是非常危險,不單可讓廣告肆意彈出造成極大困擾,也給駭客提供了方便之門,透過釣魚網站(偽造真實網站)竊取用戶的個人帳號和密碼,甚至可輕易將木馬病毒程式植入機內。Sean Schulte 也在大會中利用 Android App 當場示範,只是畫面一閃而過,就可將手機版 Facebook 的登入介面轉換為模仿度極高的釣魚網站,而且速度之快不讓使用者有所察覺。

不過最令人擔憂的是,暫時該功能並不能透過權限清單中發現,因為它被列入為 Activity Service,只當作為基本功能之一。Google 方面已就這個問題作出回應,表示該功能認為可提高 App 與用戶之間的互動性,而且到目前為止,未有發現任何利用該漏洞的攻擊行為。看來 Google 不會在短期內作出修改或推出防範措施,大家只好在使用手機時提高警覺,不要輕易輸入任何敏感資料,免招損失。

via: cnet

更多相关文章

  1. Android(安卓)View onMeasure 方法
  2. Android(安卓)studio maven pom.xml
  3. Android(安卓)attrs文件(自定义)属性详解
  4. ApacheCN 网络安全译文集 20211025 更新
  5. Android中设置控件可见与不可见详解
  6. android app 启动会白屏的解决办法
  7. 关于android多点触控
  8. Android的底层库libutils介绍
  9. Android中设置控件可见与不可见

随机推荐

  1. 给按钮添加点击效果小结
  2. Android中读取properties文件1
  3. Android(安卓)为【apk】文件签名,增加修改
  4. android openmax&surfaceflinger
  5. EvilCode的专栏╭☆╯ -- Android/Linux
  6. Mac Android(安卓)Studio安装教程
  7. Paint常用方法介绍
  8. EditText默认不弹出键盘
  9. Android实现选择本地音乐
  10. Android(安卓)stdio 3.0以上版本将图片文