弹出广告和各种钓鱼诈骗的确是非常烦人的,而现在 Android 中发现了一个可以让这些东西乘虚而入的漏洞。在今年的 Defcon 19(拉斯维加斯每年一次的黑客会议)上,研究人员发现了上述的 Android 漏洞,这可能导致 Android Marekt 上的应用能够通过网络钓鱼窃取用户数据或者是出现(21 世纪最讨厌的发明之)弹出广告。
显然,可能会有人利用这一漏洞搞出某些诈骗应用,让你在使用合法银行应用时显示假冒的银行登陆链接等。目前,要与用户沟通通常应用可以推送一个提示到通知栏。不过 Android 软件开发工具(SDK)中有一个应用编程接口可以让应用推送一个消息给另外一个正在使用的应用。
Trustwave 上也重点谈到了这个窃取漏洞的问题。Sean Schulte,SSL 的一个开发者在 Trustwave 上解释说:
Android 允许覆盖标准的返回按钮
Nicholas Percoco,SpiderLabs 的高级副总裁在 Trustwave 也进一步解释了这个问题:
正是如此,这成了窃取应用的主要漏洞,最好不要通过返回按钮来退出。(也就是说某些应用可能还在后台运行)。
为了进一步说明这个问题,研究人员甚至利用这一(漏洞)概念开发了一个演示工具,应该说是一个游戏,它可以发出一些假冒的 Facebook,Amazon(亚马逊)、Google Voice 以及 Gmail 链接。他们演示这个工具时,当用户打开合法的应用程序之后瞬间就会出现一个“假冒”的 Facebook 登陆界面。Percoco 进一步解释说:
通过这个设计缺陷,游戏或应用开发者可以创建有针对性的弹出式广告。可能只是烦人的广告,也可能出现你喜欢的广告,但这些都是有针对性弹出的,这可能会被竞争对手加以利用(产生恶意竞争)。
如果你觉得可以避开这些“特殊”的应用,可能你没有仔细理解这个文章所指的问题。这种弹出问题在很多合法的应用中都有“活动迹象”,也就是说你可能用过这样的应用但是自己压根儿没发现。
Google 对此问题进行了解释:
应用之间切换是很多应用所需的功能,这是为了进一步丰富应用之间的互动。我们还没有看到 Android Market 上有任何应用在恶意利用这种技术,我们将会清理任何恶意利用这种技术的应用。
Nicholos Percoco 回应到:
应用切换是没有问题的。真正的问题是其它应用被等同于前台应用,然后当它跳到前台的时候并没有用户给予的权限。我们也不能看出一个恶意应用和一个合法应用之间的差别,因为在用户报告之前他们看起来都几乎没有什么区别。等到一个应用被报告才去清理那这个立场还是有点危险的,而且这可能徒劳无功,因为攻击者说不定发布应用的速度还比 Google 从 Market 上清理它们的速度要快。
你对于 Android Marekt 存在的这个潜在的弹出广告和钓鱼诈骗威胁漏洞有何看法呢?我们不太确定 Google 的这个声明是否足够充分。你是否觉得 Google 需要进一步对此问题进行说明并防止更多的缺陷(或者说漏洞)暴露呢?
via phandroid
没有评论:
发表评论