研究人員發(fā)現(xiàn)谷歌Android移動(dòng)操作系統(tǒng)軟件有一個(gè)設(shè)計(jì)漏洞。犯罪分子利用這個(gè)漏洞能夠通過釣魚攻擊竊取用戶數(shù)據(jù),廣告商利用這個(gè)漏洞能夠向手機(jī)發(fā)送討厭的彈出式廣告。
Trustwave 高級(jí)高級(jí)副總裁兼SpiderLabs實(shí)驗(yàn)室負(fù)責(zé)人Nicholas Percoco在DefCon黑客會(huì)議上發(fā)表這項(xiàng)研究成果之前稱,開發(fā)人員能夠創(chuàng)建表面上無害的應(yīng)用程序。當(dāng)用戶正在使用合法的銀行應(yīng)用程序的時(shí)候,這個(gè)應(yīng)用程序顯示一個(gè)假冒的銀行應(yīng)用程序登錄頁。
目前,要與用戶進(jìn)行溝通的應(yīng)用程序在發(fā)現(xiàn)不同的應(yīng)用程序的時(shí)候會(huì)在顯示屏上面的工具條中發(fā)出警告。但是,Android軟件開發(fā)工具中的應(yīng)用程序編程接口能夠用來把一個(gè)應(yīng)用程序推向前臺(tái)。
Trustwave的安全階層(SSL)開發(fā)人員Sean Schulte稱,Android允許用戶取消點(diǎn)擊返回按鈕的標(biāo)準(zhǔn)。因此,這個(gè)應(yīng)用程序能夠竊取這個(gè)重點(diǎn)。用戶不能點(diǎn)擊返回鍵退出。研究人員把這個(gè)漏洞稱作重點(diǎn)竊取安全漏洞。
研究人員創(chuàng)建了一個(gè)概念證明工具。這個(gè)工具是一款游戲,但是,能夠顯示假冒的Facebook、亞馬遜和谷歌語音等應(yīng)用程序。這個(gè)工具在安裝自己的時(shí)候是以作為合法的應(yīng)用程序的一部分安裝的并且注冊(cè)為一項(xiàng)服務(wù)。因此,在手機(jī)起到之后,這個(gè)程序就恢復(fù)了。
在演示中,這些假冒的網(wǎng)頁完全取代了合法的網(wǎng)頁,因此,用戶看不出什么區(qū)別。
Percoco稱,由于這個(gè)設(shè)計(jì)漏洞,游戲或者應(yīng)用程序開發(fā)人員能夠創(chuàng)建有針對(duì)性的彈出式廣告。
推薦閱讀
聯(lián)通電信推校園3G品牌圍剿“動(dòng)感地帶”
分析人士認(rèn)為,每年9月,都是運(yùn)營商爭(zhēng)奪校園用戶最激烈的季節(jié)。無論是聯(lián)通“沃派”還是電信“天翼i特”都意在依托3G優(yōu)勢(shì)與中國移動(dòng)爭(zhēng)奪校園用戶。 據(jù)消息人士透露,中國聯(lián)通新校園品牌沃派將于本月15日正式發(fā)布,每月>>>詳細(xì)閱讀
本文標(biāo)題:Android存設(shè)計(jì)漏洞 用戶數(shù)據(jù)存泄露風(fēng)險(xiǎn)
地址:http://www.oumuer.cn/a/01/20121229/108532.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示