ZH
服务热线
据研究人员称,开发人员可以通过安卓系统的设计缺陷将恼人的弹出式广告或网络钓鱼攻击潜入移动应用程序。
拉斯维加斯–研究人员发现了他们所说的安卓系统中的一个设计缺陷,犯罪分子可能利用这个缺陷通过网络钓鱼窃取数据,广告商也可能利用这个缺陷给手机带来恼人的弹出式广告。
Trustwave 公司高级副总裁兼 SpiderLabs 负责人尼古拉斯-珀尔科(Nicholas Percoco)在今天举行的 DefCon 黑客大会上介绍这项研究之前说,开发人员可以创建一些看似无害的应用程序,例如,当用户使用合法的银行应用程序时,这些应用程序就会显示虚假的银行应用程序登录页面。
目前,当用户正在浏览不同的应用程序时,想要与用户交流的应用程序只需在屏幕上方的通知栏中推送一个提醒。 但他说,Android 的软件开发工具包中有一个应用程序编程接口,可以用来将某个应用程序推到前台。
“Trustwave公司的SSL(安全套接字层)开发人员肖恩-舒尔特说:”安卓允许你覆盖(点击)返回按钮的标准。
Percoco说:”正因为如此,应用程序能够窃取焦点,而你无法点击后退按钮退出,”他补充说,他们将这个问题命名为 “焦点窃取漏洞”。
研究人员创建了一个概念验证工具,它既是一个游戏,也会触发 Facebook、亚马逊、谷歌语音和谷歌电子邮件客户端的虚假显示。 Percoco 说,该工具将自己作为有效载荷的一部分安装在一个合法应用程序中,并注册为一项服务,这样在手机重启后它就会重新启动。
在一个演示中,用户打开应用后看到的是 Facebook 的登录界面,唯一能表明发生了异常的迹象是屏幕上的一个闪动,很多用户都不会注意到。 伪造屏幕完全取代了合法屏幕,因此用户无法发现任何异常。
Percoco 说,有了这个设计缺陷,游戏或应用程序开发人员就可以创建有针对性的弹出式广告。 他补充说,这些广告可能只是恼人的,就像大多数弹出式广告一样,但它们也可能是有针对性的,在使用竞争对手的应用程序时弹出广告。
“去年,Percoco 和 Christian Papathanasiou 在 DefCon 上展示了一款 Android rootkit。
舒尔特表示,该功能不会在用户下载应用程序时显示的权限中引起任何警示,因为这是应用程序在所谓的 “活动服务 “中检查手机状态的合法功能。
佩尔科科说,几周前,研究人员与谷歌公司的某个人谈到了他们的发现,那个人承认存在问题,并说公司正在想办法解决这个问题,同时又不破坏可能正在使用它的合法应用程序的任何功能。
谷歌的一位代表在接受采访时表示,他将调查此事。
2011 年 8 月 8 日下午 3 时 50 分更新 PT 谷歌发言人发表了如下声明:”在应用程序之间进行切换是许多应用程序都希望具备的功能,以鼓励应用程序之间进行丰富的互动。我们还没有在安卓市场上看到任何恶意使用这种技术的应用程序,我们将删除任何使用这种技术的应用程序。
谷歌发言人还指导 CNET 以 Visidon 的 AppLock 为例,说明如何使用该功能。 该应用使用面部识别技术来防止未经授权访问手机的某些部分,如 Gmail 应用。 合法使用本例中的漏洞所描述的功能,会在点击 AppLock 时将其密码请求界面滑过 Gmail 界面。 由于 AppLock 使用你的脸作为密码,所以它会滑动,让你的脸被识别为已批准的密码,然后滑开。
2011 年 8 月 8 日晚 7 时 40 分更新 PT Percoco 对谷歌声明的回应:”应用程序切换不是问题所在。真正的问题是其他应用程序能否识别哪个应用程序处于前台,然后在未经用户允许的情况下跳到正在运行的应用程序前面。我们也不知道他们如何确定恶意程序和合法程序之间的区别,因为在用户向他们报告恶意程序之前,它们看起来几乎一模一样。等到应用程序被报告为恶意程序后再删除 “的立场是危险的,而且很可能会被证明是徒劳无功的,因为攻击者发布应用程序的速度远远快于谷歌识别并从市场中删除应用程序的速度。
CNET Seth Rosenblatt 对此报道有贡献。
Source:https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/
