系统吧 - 最好的系统光盘下载网站!

当前位置:首页 > IT资讯 > 谷歌 > 详细页面

安卓又出新漏洞:用户界面设计都能黑?

编辑:系统吧 2017-05-31 来源于:网络

  安卓作为全球用户最多的智能手机操作系统,吸引黑客兴趣是再正常不过的事了。虽然谷歌每个月都发布软件更新包,不断的修复Android系统中的已知缺陷和漏洞,以此来不断的提高Android智能手机的安全性。不过漏洞不一定要找代码中的错误,Android在用户界面部分深思熟虑的特性,也能成为黑客的突破口。

安卓又出新漏洞:用户界面设计都能黑?

  一个小型安全团队最近披露了Android用户界面中的“设计问题”,据他们称,网络犯罪分子可以利用这些“设计问题”,神不知鬼不觉地从运行Android 7.1.2或早期版本Android的智能手机中窃取密码和个人数据。

  phoneArena表示,安全专家描述了一种被称作“Cloak & Dagger”的新技术,黑客可以利用“Cloak & Dagger”,使恶意应用通过隐蔽但不设防的“一扇门”潜入智能手机。黑客利用“Cloak & Dagger”兴风作浪只需要两个权限:第一种权限对所谓的“draw on top”(用于在其他应用元素之上绘制窗口或应用元素)特性提供支持;第二种权限是“a11y”,被用来向残疾用户提供帮助的界面特性。但一旦被授予后,这两种权限使黑客能完成各种恶意攻击,例如记录用户输入的每个词汇——其中包括密码,安装具有能完全控制移动设备所需权限的恶意应用。

  黑客能秘密发动攻击的原因是,这两种权限的处理方式不同于传统权限,例如定位或WiFi使用。系统不会询问用户是否授予应用权限,“draw on top”权限会自动授予要求它的应用,例如Facebook Messenger。这种方式还使得应用能在用户不知情的情况下获得“a11y”权限。

  phoneArena称,但事情并非像表面上看起来那样恐怖。首先,Android用户界面缺陷是由安全专家而非黑客披露的,目前尚没有利用“Cloak & Dagger”的已知攻击或病毒出现。此外,所有相关信息已经提交给谷歌,因此它可能将在即将发布的软件更新包中解决这一问题。事实上,谷歌已经在为其Android O平台开发补丁软件,限止应用在系统用户界面上绘制其他元素。

  如果在安装应用时谨慎一些,用户也无需过于担心“Cloak & Dagger”攻击,例如下载Google Play上受信任开发者发布的应用,在安装前阅读用户评论。

  如果用户想更进一步,解决自动授予权限的问题很容易。在Android 7.1.2中,用户可以依次打开“设置》应用》设置》特殊权限》在其他应用上绘制”,关闭“draw on top”权限;用户可以在“设置》无障碍》服务”中查看哪些应用要求“a11y”权限。

相关信息

  • 谷歌正在努力将Android与Windows 11集成

    作为更广泛的 Android 公告的一部分,谷歌今天表示,它将在今年将 Android 的主要功能与 Windows 集成。 对于 Android,我们还第一次专注于为其他平台构建,比如 Windows,无论是在游...

    2022/01/06 11:00:25

  • Google Chrome浏览器97.0.4692.71推出!

    据系统之家小编了解 今日谷歌官方发布了最新的97.0.4692.71版本Google Chrome浏览器,在新的版本中,谷歌官方带来了诸多功能的改进,并且针对一些问题进行了修复。...

    2022/01/05 08:01:28

公众号