8月25日消息，據國外媒體報道，加利福尼亞大學和密歇根大學的研究者發現了安卓系統的一個漏洞，它允許應用程序被強行控制，而他們相信這個漏洞能夠以相同的方式被用來攻擊iOS和Windows的移動應用程序。

這個漏洞涉及到這樣的事實，雖然有沙箱以分隔應用程序以避免其共享記憶發生問題，但應用程序仍然共享著記憶空間。

盡管移動設備上的應用程序被設計為在自己的沙箱內運行代碼，但他們都大體依賴共同的圖形界面框架，即窗口管理，它在共享的記憶空間中操作。窗口管理負責在用戶的移動設備屏幕上表現圖形界面元素。

名為“雖未真正看到您的應用程序，卻能窺見它：用戶界面狀態推理和異常安卓攻擊”的論文將于周五發表在加利福尼亞圣地亞哥高等計算機系統協會安全專題論文集中，作者為奇-阿爾弗雷德-陳（Qi Alfred Chen）和Z-莫爾里-毛（Z. Morley Mao），他們來自加利福尼亞大學，這篇文章描述了他們如何利用這個漏洞。

對系統的攻擊要求下載一個惡意應用程序，并在安卓設備的后臺運行它。惡意程序被設計得不顯眼，它消耗很低的能量和最低的權限。它的工作是監視窗口管理記憶空間并推斷其他應用程序的行為。

通過在屏幕上監視其他應用程序的圖形元素，惡意程序能夠理解這些應用程序正在做的事，然后精確地注入同步的虛假界面元素，例如登陸界面，以截獲登陸證書或欺騙用戶。這種技術通常被稱作“中間人攻擊”。