研究結果顯示,入侵測試的6款應用的成功率在82%-92%之間。
國外一群研究人員發現Android、Windows和iOS移動操作系統中存在著一個共有的漏洞,他們相信黑客們可以利用這個漏洞輕松地竊取那些警惕性較差的用戶的個人信息。
那些研究人員中包括加州大學河濱分校伯恩斯工程學院的一位助理教授,他們演示了利用該漏洞入侵Android手機的過程。
研究人員們在7款最流行的應用上對入侵的方法進行了測試,發現入侵其中6款應用時的成功率在82%到92%之間。最容易被入侵的應用包括Gmail、CHASE Bank和H&R Block。相比之下,最不容易被入侵的應用是亞馬遜,成功率只有48%。
那些研究人員已于8月22日在圣地亞哥舉行的第23屆USENIX安全研討會上發表了題為《偷窺你的應用:UI狀態推論和Android攻擊新方法》的報告。這份報告的作者包括:加州大學河濱分校伯恩斯工程學院計算機科學與工程系錢志云(Zhiyun Qian,音譯)、密西根大學助理教授莫雷毛(Z. Morley Mao)以及他帶的博士生陳奇(Qi Alfred Chen,音譯)。
研究人員們相信,他們使用的入侵方法在其他操作系統上同樣有效,因為這種入侵方法利用了Android系統中的一項關鍵功能,但是他們并未在其他操作系統上進行測試。
他們之所以做這項研究主要是因為他們認為由這么多開發員去開發這么多的應用本身就存在安全隱患。當用戶將一批應用下載到自己的智能手機上的時候,那些應用將在同一個基礎設施或操作系統上運行。
錢志云說:“人們通常會認為這些應用彼此之間不能輕易互動,但是我們證明了這一假設是不成立的,實際上一款應用可以對另一款應用造成巨大的影響,并給用戶帶來不利的后果。”
他們使用的攻擊方式會讓用戶去下載一個看似良性實乃惡性的應用程序,比如管理手機背景圖片的應用。一旦那個應用被安裝到手機上,研究人員就能利用他們新發現的通道即某進程的共享內存統計數據發起攻擊。
研究人員們通過監控共享內存的變化將那些變化與各種“活動轉變事件”比如用戶登錄Gmail或H&R Block等一一對應起來,然后再利用其它的一些通道準確地追蹤到目標應用正處于何種狀態。
這種攻擊方法有兩個關鍵點。一是攻擊必須在用戶登錄應用或拍照的時候進行;二是攻擊必須在用戶不知情的情況下進行。研究人員們在測試時小心謹慎地計算了發動攻擊的時間。
錢志云說:“從設計上來說,Android運行應用被強占或攔截,但是你必須在特定的時間這樣做,那樣用戶就不會察覺到。”
他們制作了3個短片來演示攻擊的方法和過程。
研究人員們測試的7款應用和對應的入侵成功率分別為:Gmail(92%)、H&R Block(92%)、Newegg(86%)、WebMD(85%)、CHASE Bank(83%)、Hotels.com(83%)和Amazon(48%)。
亞馬遜是上述應用中最難被攻破的應用,因為它的應用允許某項活動被轉變成其他任何活動,這樣就增加了攻擊者猜對當前活動的難度。
當被問及智能手機用戶應該如何避免受到這個問題的困擾時,錢志云回答說:“最好的做法就是不要安裝不信任的應用。”他說,以后在操作系統的設計上應當更小心地在安全和功能之間尋找一個平衡點。
京公網安備 11010502049343號