據phoneArena網站報道,作為全球用戶最多的智能手機操作系統,Android吸引黑客興趣并不讓人感到意外。谷歌每月發布軟件更新包,修正Android中已知缺陷和漏洞,不斷努力提高Android智能手機安全性的原因,就在于此。但是,造成缺陷的并非只是代碼中的錯誤,Android用戶界面中部分深思熟慮的特性,似乎也會使移動設備面臨風險。
一個小型安全團隊最近披露了Android用戶界面中的“設計問題”,據他們稱,網絡犯罪分子可以利用這些“設計問題”,神不知鬼不覺地從運行Android 7.1.2或早期版本Android的智能手機中竊取密碼和個人數據。
phoneArena表示,安全專家描述了一種被稱作“Cloak & Dagger”的新技術,黑客可以利用“Cloak & Dagger”,使惡意應用通過隱蔽但不設防的“一扇門”潛入智能手機。黑客利用“Cloak & Dagger”興風作浪只需要兩個權限:第一種權限對所謂的“draw on top”(用于在其他應用元素之上繪制窗口或應用元素)特性提供支持;第二種權限是“a11y”,被用來向殘疾用戶提供幫助的界面特性。但一旦被授予后,這兩種權限使黑客能完成各種惡意攻擊,例如記錄用戶輸入的每個詞匯——其中包括密碼,安裝具有能完全控制移動設備所需權限的惡意應用。
黑客能秘密發動攻擊的原因是,這兩種權限的處理方式不同于傳統權限,例如定位或WiFi使用。系統不會詢問用戶是否授予應用權限,“draw on top”權限會自動授予要求它的應用,例如Facebook Messenger。這種方式還使得應用能在用戶不知情的情況下獲得“a11y”權限。
phoneArena稱,但事情并非像表面上看起來那樣恐怖。首先,Android用戶界面缺陷是由安全專家而非黑客披露的,目前尚沒有利用“Cloak & Dagger”的已知攻擊或病毒出現。此外,所有相關信息已經提交給谷歌,因此它可能將在即將發布的軟件更新包中解決這一問題。事實上,谷歌已經在為其Android O平臺開發補丁軟件,限止應用在系統用戶界面上繪制其他元素。
如果在安裝應用時謹慎一些,用戶也無需過于擔心“Cloak & Dagger”攻擊,例如下載Google Play上受信任開發者發布的應用,在安裝前閱讀用戶評論。
如果用戶想更進一步,解決自動授予權限的問題很容易。在Android 7.1.2中,用戶可以依次打開“設置>應用>設置>特殊權限>在其他應用上繪制”,關閉“draw on top”權限;用戶可以在“設置>無障礙>服務”中查看哪些應用要求“a11y”權限。
