安卓又曝新漏洞：用戶界面設(shè)計也能被黑

據(jù)phoneArena網(wǎng)站報道，作為全球用戶最多的智能手機操作系統(tǒng)，Android吸引黑客興趣并不讓人感到意外。谷歌每月發(fā)布軟件更新包，修正Android中已知缺陷和漏洞，不斷努力提高Android智能手機安全性的原因，就在于此。但是，造成缺陷的并非只是代碼中的錯誤，Android用戶界面中部分深思熟慮的特性，似乎也會使移動設(shè)備面臨風(fēng)險。

一個小型安全團隊最近披露了Android用戶界面中的“設(shè)計問題”，據(jù)他們稱，網(wǎng)絡(luò)犯罪分子可以利用這些“設(shè)計問題”，神不知鬼不覺地從運行Android 7.1.2或早期版本Android的智能手機中竊取密碼和個人數(shù)據(jù)。

phoneArena表示，安全專家描述了一種被稱作“Cloak & Dagger”的新技術(shù)，黑客可以利用“Cloak & Dagger”，使惡意應(yīng)用通過隱蔽但不設(shè)防的“一扇門”潛入智能手機。黑客利用“Cloak & Dagger”興風(fēng)作浪只需要兩個權(quán)限：第一種權(quán)限對所謂的“draw on top”(用于在其他應(yīng)用元素之上繪制窗口或應(yīng)用元素)特性提供支持;第二種權(quán)限是“a11y”，被用來向殘疾用戶提供幫助的界面特性。但一旦被授予后，這兩種權(quán)限使黑客能完成各種惡意攻擊，例如記錄用戶輸入的每個詞匯——其中包括密碼，安裝具有能完全控制移動設(shè)備所需權(quán)限的惡意應(yīng)用。

黑客能秘密發(fā)動攻擊的原因是，這兩種權(quán)限的處理方式不同于傳統(tǒng)權(quán)限，例如定位或WiFi使用。系統(tǒng)不會詢問用戶是否授予應(yīng)用權(quán)限，“draw on top”權(quán)限會自動授予要求它的應(yīng)用，例如Facebook Messenger。這種方式還使得應(yīng)用能在用戶不知情的情況下獲得“a11y”權(quán)限。

phoneArena稱，但事情并非像表面上看起來那樣恐怖。首先，Android用戶界面缺陷是由安全專家而非黑客披露的，目前尚沒有利用“Cloak & Dagger”的已知攻擊或病毒出現(xiàn)。此外，所有相關(guān)信息已經(jīng)提交給谷歌，因此它可能將在即將發(fā)布的軟件更新包中解決這一問題。事實上，谷歌已經(jīng)在為其Android O平臺開發(fā)補丁軟件，限止應(yīng)用在系統(tǒng)用戶界面上繪制其他元素。

如果在安裝應(yīng)用時謹慎一些，用戶也無需過于擔心“Cloak & Dagger”攻擊，例如下載Google Play上受信任開發(fā)者發(fā)布的應(yīng)用，在安裝前閱讀用戶評論。

如果用戶想更進一步，解決自動授予權(quán)限的問題很容易。在Android 7.1.2中，用戶可以依次打開“設(shè)置>應(yīng)用>設(shè)置>特殊權(quán)限>在其他應(yīng)用上繪制”，關(guān)閉“draw on top”權(quán)限;用戶可以在“設(shè)置>無障礙>服務(wù)”中查看哪些應(yīng)用要求“a11y”權(quán)限。