|
据phoneArena网站报道,作为全球用户最多的智妙手机操纵系统,Android吸引黑客乐趣并不让人感想意外。谷歌每月宣布软件更新包,批改Android中已知缺陷和裂痕,不绝尽力提高Android智妙手机安详性的原因,就在于此。可是,造成缺陷的并非只是代码中的错误,Android用户界面中部门深思熟虑的特性,好像也会使移动设备面对风险。 一个小型安详团队最近披露了Android用户界面中的“设计问题”,据他们称,网络犯法分子可以操作这些“设计问题”,神不知鬼不觉地从运行Android 7.1.2或早期版本Android的智妙手机中窃取暗码和小我私家数据。 phoneArena暗示,安详专家描写了一种被称作“Cloak & Dagger”的新技能,黑客可以操作“Cloak & Dagger”,使恶意应用通过隐蔽但不设防的“一扇门”潜入智妙手机。黑客操作“Cloak & Dagger”兴风作浪只需要两个权限:第一种权限对所谓的“draw on top”(用于在其他应用元素之上绘制窗口或应用元素)特性提供支持;第二种权限是“a11y”,被用来向残疾用户提供辅佐的界面特性。但一旦被授予后,这两种权限使黑客能完成各类恶意进攻,譬喻记任命户输入的每个词汇——个中包罗暗码,安装具有能完全节制移动设备所需权限的恶意应用。 黑客能奥秘动员进攻的原因是,这两种权限的处理惩罚方法差异于传统权限,譬喻定位或WiFi利用。系统不会询问用户是否授予应用权限,“draw on top”权限会自动授予要求它的应用,譬喻Facebook Messenger。这种方法还使得应用能在用户不知情的环境下得到“a11y”权限。 phoneArena称,但工作并非像外貌上看起来那样可怕。首先,Android用户界面缺陷是由安详专家而非黑客披露的,今朝尚没有操作“Cloak & Dagger”的已知进攻或病毒呈现。另外,所有相关信息已经提交给谷歌,因此它大概将在即将宣布的软件更新包中办理这一问题。事实上,谷歌已经在为其Android O平台开拓补丁软件,限止应用在系统用户界面上绘制其他元素。 假如在安装应用时审慎一些,用户也无需过于担忧“Cloak & Dagger”进攻,譬喻下载Google Play上受信任开拓者宣布的应用,在安装前阅读用户评论。 假如用户想更进一步,办理自动授予权限的问题很容易。在Android 7.1.2中,用户可以依次打开“配置>应用>配置>非凡权限>在其他应用上绘制”,封锁“draw on top”权限;用户可以在“配置>无障碍>处事”中查察哪些应用要求“a11y”权限。
|
