繼上次 WannaCry 勒索病毒席卷全球后,Windows XP 和未安裝更新的 Windows 電腦遭遇了前所未有的安全問題。當然,這一事件有好有壞,好的一面也促使了更多的用戶開始關注電子設備的安全問題。
現在,另一個安全問題出現在了全球手機操作系統占有率高達 86.1% 的 Android 上。
(圖自:Android Central)
近日,加州大學圣巴巴拉分校和佐治亞理工大學的研究人員,發現了一種名為 Cloak and Dagger 的惡意軟件 ,可以偷偷植入到 Android 手機上,它能夠幫助黑客記下被入侵者手機上的操作記錄,甚至可以讓黑客隨意安裝 app,而被入侵的人可能都不會察覺。
事實上,Cloak and Dagger 利用了 Android UI 的安全漏洞,它只需要調用系統兩個權限來實現入侵:System Alert Window(“draw on top”)和 Bind Accessibilty Service(“a11y”)。
而目前在 Play Store 下載的任何 app 的,Android 系統只會自動授予一些比較基礎的權限。如果黑客想要入侵你的手機,他就需要在 app 里面誘導你再開通 Bind Accessibilty Service 這個權限,可能通過一些看不見的按鈕,讓你誤開啟這個權限。
這可能很危險,研究人員表示:
更糟糕的是,我們注意到,只要手機被入侵,黑客就像遠程操控你的手機一樣,而與此同時在手機屏幕仍然關閉。
也就是說,黑客可以你手機黑屏的情況下,執行一系列惡意操作,比如說亂發你的朋友圈,進入沒有密碼的支付寶,查看你的照片,或者干脆把你的手機鎖住,讓你無法使用。
Google 也發現了這個安全問題。
一位發言人表示他們正在與研究人員溝通,希望能夠一起解決這個問題,同時他們也感謝這些研究人員所做出的努力。
我們已經在 Google Play 上更新了 Android 設備的安全服務,以檢測和阻止安裝 Cloak and Dagger 這種惡意軟件。在此之前,我們已經在 Android O 中構建了新的安全保護措施,將進一步加強 Android 的安全性。
研究人員 Yanick Fratantonio 認為,Android O 最近可能會對 Cloak and Dagger 推出針對性的補丁。現在他給出的建議是
京公網安備 11010502049343號