近日消息,據(jù)國外媒體報道,加利福尼亞大學(xué)和密歇根大學(xué)的研究者發(fā)現(xiàn)了安卓系統(tǒng)的一個漏洞,它允許應(yīng)用程序被強(qiáng)行控制,而他們相信這個漏洞能夠以相同的方式被用來攻擊iOS和Windows的移動應(yīng)用程序。
這個漏洞涉及到這樣的事實(shí),雖然有沙箱以分隔應(yīng)用程序以避免其共享記憶發(fā)生問題,但應(yīng)用程序仍然共享著記憶空間。
盡管移動設(shè)備上的應(yīng)用程序被設(shè)計為在自己的沙箱內(nèi)運(yùn)行代碼,但他們都大體依賴共同的圖形界面框架,即窗口管理,它在共享的記憶空間中操作。窗口管理負(fù)責(zé)在用戶的移動設(shè)備屏幕上表現(xiàn)圖形界面元素。
名為“雖未真正看到您的應(yīng)用程序,卻能窺見它:用戶界面狀態(tài)推理和異常安卓攻擊”的論文將于周五發(fā)表在加利福尼亞圣地亞哥高等計算機(jī)系統(tǒng)協(xié)會安全專題論文集中,作者為奇-阿爾弗雷德-陳(Qi Alfred Chen)和Z-莫爾里-毛(Z. Morley Mao),他們來自加利福尼亞大學(xué),這篇文章描述了他們?nèi)绾卫眠@個漏洞。
對系統(tǒng)的攻擊要求下載一個惡意應(yīng)用程序,并在安卓設(shè)備的后臺運(yùn)行它。惡意程序被設(shè)計得不顯眼,它消耗很低的能量和最低的權(quán)限。它的工作是監(jiān)視窗口管理記憶空間并推斷其他應(yīng)用程序的行為。
通過在屏幕上監(jiān)視其他應(yīng)用程序的圖形元素,惡意程序能夠理解這些應(yīng)用程序正在做的事,然后精確地注入同步的虛假界面元素,例如登陸界面,以截獲登陸證書或欺騙用戶。這種技術(shù)通常被稱作“中間人攻擊”。
京公網(wǎng)安備 11010502049343號