在8月初舉行的駭客大會 Defcon 19 上,有資安公司 Trustwave 員工表示他們發現在 Android 系統設計潛在嚴重安全漏洞,而且後果可大可小,輕則彈出令人反感的 Pop-up 廣告,重則遇到假冒登入頁的釣魚網站,收集使用者的個人資料或信用卡資訊以從事非法活動。

資安公司 Trustwave 的開發人員 Sean Schulte 稱,Android 是個多工的作業環境,如果在同一時間運行多款 App 的時候,個別 App 要發出提醒或者推送資訊給使用者,都會透過螢幕頂端的通知欄上顯示。但除此之外,原來 Android SDK 開發套件還提供另一個辦法,容許物件(Object)能夠隨時自行彈出,讓用家在不知情的情況下被帶至另一個頁面。

Sean Schulte 表示這個設計上的漏洞是非常危險,不單可讓廣告肆意彈出造成極大困擾,也給駭客提供了方便之門,透過釣魚網站(偽造真實網站)竊取用戶的個人帳號和密碼,甚至可輕易將木馬病毒程式植入機內。Sean Schulte 也在大會中利用 Android App 當場示範,只是畫面一閃而過,就可將手機版 Facebook 的登入介面轉換為模仿度極高的釣魚網站,而且速度之快不讓使用者有所察覺。

不過最令人擔憂的是,暫時該功能並不能透過權限清單中發現,因為它被列入為 Activity Service,只當作為基本功能之一。Google 方面已就這個問題作出回應,表示該功能認為可提高 App 與用戶之間的互動性,而且到目前為止,未有發現任何利用該漏洞的攻擊行為。看來 Google 不會在短期內作出修改或推出防範措施,大家只好在使用手機時提高警覺,不要輕易輸入任何敏感資料,免招損失。

via: cnet

更多相关文章

  1. [Unity3D]Android实现手机震动功能
  2. android中实现swipe的手势功能及页面拖动动画
  3. Android使用ViewFlipper实现图片切换功能
  4. Android防止内存溢出浅析/应用自动更新功能的代码实现
  5. Android微信端的下拉刷新功能
  6. Android设备管理器漏洞
  7. Android Studio 4.0 新功能之 AndroidKotlin Live Templates
  8. Android之——原生分享功能
  9. Android TextView的字符过滤功能

随机推荐

  1. Android的Apk签名方案
  2. maxEms和maxLength的区别以及maxEms不起
  3. 【Android】SD卡的安全存储问题
  4. Android 自定义View之坐标系(一)
  5. Android(安卓)数据存储(一) Preference的
  6. Android应用的自动升级、更新模块的实现(z
  7. [转]如何在移动设备程序中嵌入盈利广告,开
  8. Android与物联网设备通信-概念入门
  9. Android(安卓)签名文件转换
  10. 简析Android对Linux内核的改动-(上)