Google
安卓又出新漏洞:用户界面设计都能黑?
2021-07-01 10:26  浏览:15

  安卓作为全球用户最多的智能手机操作系统,吸引黑客兴趣是再正常不过的事了。虽然谷歌每个月都发布软件更新包,不断的修复Android系统中的已知缺陷和漏洞,以此来不断的提高Android智能手机的安全性。不过漏洞不一定要找代码中的错误,Android在用户界面部分深思熟虑的特性,也能成为黑客的突破口。

  一个小型安全团队最近披露了Android用户界面中的“设计问题”,据他们称,网络犯罪分子可以利用这些“设计问题”,神不知鬼不觉地从运行Android 7.1.2或早期版本Android的智能手机中窃取密码和个人数据。

  phoneArena表示,安全专家描述了一种被称作“Cloak & Dagger”的新技术,黑客可以利用“Cloak & Dagger”,使恶意应用通过隐蔽但不设防的“一扇门”潜入智能手机。黑客利用“Cloak & Dagger”兴风作浪只需要两个权限:第一种权限对所谓的“draw on top”(用于在其他应用元素之上绘制窗口或应用元素)特性提供支持;第二种权限是“a11y”,被用来向残疾用户提供帮助的界面特性。但一旦被授予后,这两种权限使黑客能完成各种恶意攻击,例如记录用户输入的每个词汇——其中包括密码,安装具有能完全控制移动设备所需权限的恶意应用。

  黑客能秘密发动攻击的原因是,这两种权限的处理方式不同于传统权限,例如定位或WiFi使用。系统不会询问用户是否授予应用权限,“draw on top”权限会自动授予要求它的应用,例如Facebook Messenger。这种方式还使得应用能在用户不知情的情况下获得“a11y”权限。

  phoneArena称,但事情并非像表面上看起来那样恐怖。首先,Android用户界面缺陷是由安全专家而非黑客披露的,目前尚没有利用“Cloak & Dagger”的已知攻击或病毒出现。此外,所有相关信息已经提交给谷歌,因此它可能将在即将发布的软件更新包中解决这一问题。事实上,谷歌已经在为其Android O平台开发补丁软件,限止应用在系统用户界面上绘制其他元素。

  如果在安装应用时谨慎一些,用户也无需过于担心“Cloak & Dagger”攻击,例如下载Google Play上受信任开发者发布的应用,在安装前阅读用户评论。

  如果用户想更进一步,解决自动授予权限的问题很容易。在Android 7.1.2中,用户可以依次打开“设置》应用》设置》特殊权限》在其他应用上绘制”,关闭“draw on top”权限;用户可以在“设置》无障碍》服务”中查看哪些应用要求“a11y”权限。