研究人員發現谷歌Android移動操作系統軟件有一個設計漏洞。犯罪分子利用這個漏洞能夠通過釣魚攻擊竊取用戶數據,廣告商利用這個漏洞能夠向手機發送討厭的彈出式廣告。
Trustwave 高級高級副總裁兼SpiderLabs實驗室負責人Nicholas Percoco在DefCon黑客會議上發表這項研究成果之前稱,開發人員能夠創建表面上無害的應用程序。當用戶正在使用合法的銀行應用程序的時候,這個應用程序顯示一個假冒的銀行應用程序登錄頁。
目前,要與用戶進行溝通的應用程序在發現不同的應用程序的時候會在顯示屏上面的工具條中發出警告。但是,Android軟件開發工具中的應用程序編程接口能夠用來把一個應用程序推向前臺。
Trustwave的安全階層(SSL)開發人員Sean Schulte稱,Android允許用戶取消點擊返回按鈕的標準。因此,這個應用程序能夠竊取這個重點。用戶不能點擊返回鍵退出。研究人員把這個漏洞稱作重點竊取安全漏洞。
研究人員創建了一個概念證明工具。這個工具是一款游戲,但是,能夠顯示假冒的Facebook、亞馬遜和谷歌語音等應用程序。這個工具在安裝自己的時候是以作為合法的應用程序的一部分安裝的并且注冊為一項服務。因此,在手機起到之后,這個程序就恢復了。
在演示中,這些假冒的網頁完全取代了合法的網頁,因此,用戶看不出什么區別。
Percoco稱,由于這個設計漏洞,游戲或者應用程序開發人員能夠創建有針對性的彈出式廣告。
推薦閱讀
分析人士認為,每年9月,都是運營商爭奪校園用戶最激烈的季節。無論是聯通“沃派”還是電信“天翼i特”都意在依托3G優勢與中國移動爭奪校園用戶。 據消息人士透露,中國聯通新校園品牌沃派將于本月15日正式發布,每月>>>詳細閱讀
地址:http://www.geekbao.cn/a/01/20121229/108532.html
網友點評
精彩導讀
科技快報
品牌展示