據(jù)phoneArena網(wǎng)站報(bào)道,作為全球用戶最多的智能手機(jī)操作系統(tǒng),Android吸引黑客興趣并不讓人感到意外。谷歌每月發(fā)布軟件更新包,修正Android中已知缺陷和漏洞,不斷努力提高Android智能手機(jī)安全性的原因,就在于此。但是,造成缺陷的并非只是代碼中的錯(cuò)誤,Android用戶界面中部分深思熟慮的特性,似乎也會(huì)使移動(dòng)設(shè)備面臨風(fēng)險(xiǎn)。
一個(gè)小型安全團(tuán)隊(duì)最近披露了Android用戶界面中的“設(shè)計(jì)問題”,據(jù)他們稱,網(wǎng)絡(luò)犯罪分子可以利用這些“設(shè)計(jì)問題”,神不知鬼不覺地從運(yùn)行Android 7.1.2或早期版本Android的智能手機(jī)中竊取密碼和個(gè)人數(shù)據(jù)。
phoneArena表示,安全專家描述了一種被稱作“Cloak & Dagger”的新技術(shù),黑客可以利用“Cloak & Dagger”,使惡意應(yīng)用通過隱蔽但不設(shè)防的“一扇門”潛入智能手機(jī)。黑客利用“Cloak & Dagger”興風(fēng)作浪只需要兩個(gè)權(quán)限:第一種權(quán)限對(duì)所謂的“draw on top”(用于在其他應(yīng)用元素之上繪制窗口或應(yīng)用元素)特性提供支持;第二種權(quán)限是“a11y”,被用來向殘疾用戶提供幫助的界面特性。但一旦被授予后,這兩種權(quán)限使黑客能完成各種惡意攻擊,例如記錄用戶輸入的每個(gè)詞匯——其中包括密碼,安裝具有能完全控制移動(dòng)設(shè)備所需權(quán)限的惡意應(yīng)用。
黑客能秘密發(fā)動(dòng)攻擊的原因是,這兩種權(quán)限的處理方式不同于傳統(tǒng)權(quán)限,例如定位或WiFi使用。系統(tǒng)不會(huì)詢問用戶是否授予應(yīng)用權(quán)限,“draw on top”權(quán)限會(huì)自動(dòng)授予要求它的應(yīng)用,例如Facebook Messenger。這種方式還使得應(yīng)用能在用戶不知情的情況下獲得“a11y”權(quán)限。
phoneArena稱,但事情并非像表面上看起來那樣恐怖。首先,Android用戶界面缺陷是由安全專家而非黑客披露的,目前尚沒有利用“Cloak & Dagger”的已知攻擊或病毒出現(xiàn)。此外,所有相關(guān)信息已經(jīng)提交給谷歌,因此它可能將在即將發(fā)布的軟件更新包中解決這一問題。事實(shí)上,谷歌已經(jīng)在為其Android O平臺(tái)開發(fā)補(bǔ)丁軟件,限止應(yīng)用在系統(tǒng)用戶界面上繪制其他元素。
如果在安裝應(yīng)用時(shí)謹(jǐn)慎一些,用戶也無需過于擔(dān)心“Cloak & Dagger”攻擊,例如下載Google Play上受信任開發(fā)者發(fā)布的應(yīng)用,在安裝前閱讀用戶評(píng)論。
如果用戶想更進(jìn)一步,解決自動(dòng)授予權(quán)限的問題很容易。在Android 7.1.2中,用戶可以依次打開“設(shè)置>應(yīng)用>設(shè)置>特殊權(quán)限>在其他應(yīng)用上繪制”,關(guān)閉“draw on top”權(quán)限;用戶可以在“設(shè)置>無障礙>服務(wù)”中查看哪些應(yīng)用要求“a11y”權(quán)限。