安卓使用者當心了 黑客現在連使用者介面設計都能被黑。作為全球使用者最多的智慧型手機作業系統,android吸引黑客興趣並不讓人感到意外。谷歌每月發布軟體更新包,修正android中已知缺陷和漏洞,不斷努力提高android智慧型手機安全性的原因,就在於此。但是,造成缺陷的並非只是**中的錯誤,android使用者介面中部分深思熟慮的特性,似乎也會使移動裝置面臨風險。
安卓使用者當心了 黑客現在連使用者介面設計都能被黑
乙個小型安全團隊最近披露了android使用者介面中的「設計問題」,據他們稱,網路犯罪分子可以利用這些「設計問題」,神不知鬼不覺地從執行android 7.1.2或早期版本android的智慧型手機中竊取密碼和個人資料。
phonearena表示,安全專家描述了一種被稱作「cloak & dagger」的新技術,黑客可以利用「cloak & dagger」,使惡意應用通過隱蔽但不設防的「一扇門」潛入智慧型手機。黑客利用「cloak & dagger」興風作浪只需要兩個許可權:第一種許可權對所謂的「draw on top」(用於在其他應用元素之上繪製視窗或應用元素)特性提供支援;第二種許可權是「a11y」,被用來向殘疾使用者提供幫助的介面特性。但一旦被授予後,這兩種許可權使黑客能完成各種惡意攻擊,例如記錄使用者輸入的每個詞彙——其中包括密碼,安裝具有能完全控制移動裝置所需許可權的惡意應用。
黑客能秘密發動攻擊的原因是,這兩種許可權的處理方式不同於傳統許可權,例如定位或wifi使用。系統不會詢問使用者是否授予應用許可權,「draw on top」許可權會自動授予要求它的應用,例如facebook messenger。這種方式還使得應用能在使用者不知情的情況下獲得「a11y」許可權。
phonearena稱,但事情並非像表面上看起來那樣恐怖。首先,android使用者介面缺陷是由安全專家而非黑客披露的,目前尚沒有利用「cloak & dagger」的已知攻擊或病毒出現。此外,所有相關資訊已經提交給谷歌,因此它可能將在即將發布的軟體更新包中解決這一問題。事實上,谷歌已經在為其android o平台開發補丁軟體,限止應用在系統使用者介面上繪製其他元素。
如果使用者想更進一步,解決自動授予許可權的問題很容易。在android 7.1.2中,使用者可以依次開啟「設應設特殊權在其他應用上繪製」,關閉「draw on top」許可權;使用者可以在「設無障服務」中檢視哪些應用要求「a11y」許可權。
安卓使用者當心啦 這個App可能會偷走你的位元幣
近日,在android官方商店google play中發現了乙個危險的應用程式,它可以從手機中竊取位元幣及其它型別的加密貨幣。android clipper.c 在google play上模擬metamask 位元幣錢包位址處於安全考慮採用的是長字元組成,所以大家在使用時往往是通過複製貼上,這就給了...
安卓使用者當心啦 這個App可能會偷走你的位元幣
近日,在android官方商店google play中發現了乙個危險的應用程式,它可以從手機中竊取位元幣及其它型別的加密貨幣。android clipper.c 在google play上模擬metamask 位元幣錢包位址處於安全考慮採用的是長字元組成,所以大家在使用時往往是通過複製貼上,這就給了...
安卓使用者當心啦 這個App可能會偷走你的位元幣
近日,在android官方商店google play中發現了乙個危險的應用程式,它可以從手機中竊取位元幣及其它型別的加密貨幣。android clipper.c 在google play上模擬metamask 位元幣錢包位址處於安全考慮採用的是長字元組成,所以大家在使用時往往是通過複製貼上,這就給了...