研究人员发现谷歌Android移动操作系统软件有一个设计漏洞。犯罪分子利用这个漏洞能够通过钓鱼攻击窃取用户数据,广告商利用这个漏洞能够向手机发送讨厌的弹出式广告。
Trustwave 高级高级副总裁兼SpiderLabs实验室负责人Nicholas Percoco在DefCon黑客会议上发表这项研究成果之前称,开发人员能够创建表面上无害的应用程序。当用户正在使用合法的银行应用程序的时候,这个应用程序显示一个假冒的银行应用程序登录页。
目前,要与用户进行沟通的应用程序在发现不同的应用程序的时候会在显示屏上面的工具条中发出警告。但是,Android软件开发工具中的应用程序编程接口能够用来把一个应用程序推向前台。
Trustwave的安全阶层(SSL)开发人员Sean Schulte称,Android允许用户取消点击返回按钮的标准。因此,这个应用程序能够窃取这个重点。用户不能点击返回键退出。研究人员把这个漏洞称作重点窃取安全漏洞。
研究人员创建了一个概念证明工具。这个工具是一款游戏,但是,能够显示假冒的Facebook、亚马逊和谷歌语音等应用程序。这个工具在安装自己的时候是以作为合法的应用程序的一部分安装的并且注册为一项服务。因此,在手机起到之后,这个程序就恢复了。
在演示中,这些假冒的网页完全取代了合法的网页,因此,用户看不出什么区别。
Percoco称,由于这个设计漏洞,游戏或者应用程序开发人员能够创建有针对性的弹出式广告。
推荐阅读
分析人士认为,每年9月,都是运营商争夺校园用户最激烈的季节。无论是联通“沃派”还是电信“天翼i特”都意在依托3G优势与中国移动争夺校园用户。 据消息人士透露,中国联通新校园品牌沃派将于本月15日正式发布,每月>>>详细阅读
地址:http://www.lgo100.com/a/01/20121229/108532.html
网友点评
精彩导读
科技快报
品牌展示