谷歌称在发布“安卓O”新版本前不会修复屏幕劫持漏洞
谷歌称在发布“安卓O”新版本前不会修复屏幕劫持漏洞
数百万台安卓智能手机都遭受一个严重的“屏幕劫持”漏洞影响,黑客能窃取用户密码、银行详情以及帮助勒索软件app窃取钱财。
谷歌声称发布“安卓O”版本前不会修复该漏洞
最糟糕的事情是,谷歌声称在发布“安卓O”版本之前不会修复这个漏洞,而新版本计划于今年第三季度发布。而最最糟糕的事情是数百万用户仍然还在等待来自原始设备制造商的安卓N版本的更新,也就是说多数安卓用户将至少在一年的时间里持续遭受勒索软件、广告软件和银行木马的袭击。
发现这个屏幕劫持漏洞的Check Point公司研究人员指出,问题源于一个名为 “SYSTEM_ALERT_WINDOW” 的新权限,它能让app出现在设备屏幕和其它app上方。让Facebook Messenger悬浮于手机屏幕并收到新消息提醒时使用的也是这个功能。
从2015年10月发布的安卓版本6开始,谷歌就更新了其策略,默认为直接从官方谷歌应用商店中安装的所有应用程序提供这个极其敏感的权限。这个功能能让恶意app劫持设备屏幕,这是犯罪分子广为使用的一种利用方法,他们通过这种方法让受害者遭受恶意软件和钓鱼攻击之害。
谷歌一直在使用一种自动化恶意软件扫描器Bouncer来查找恶意app并阻止它们进入谷歌应用商店。但遗憾的是,Bouncer并不能够将所有的恶意软件都拒之门外,读者应该对于“应用商店中出现勒索软件”、“数百万受广告软件感染的app攻击应用商店用户”这样的标题并不陌生。
近期,研究人员在应用商店中的多款安卓app中发现了“BankBot银行木马”,它利用SYSTEM_ALERT_WINDOW权限展示跟每个目标银行app的登录页面类似的布局并窃取银行密码。也就是说,数量未知且拥有这个危险权限的恶意app存在于谷歌应用商店中,威胁着数百万安卓用户的安全。
后记
研究人员指出,谷歌计划在“安卓O”版本中解决这个问题,通过创建一个名为TYPE_APPLICATION_OVERLAY的限制性权限拦截位于任何关键系统窗口顶部的视窗,从而能让用户访问设置并拦截展示告警视窗的app。同时,建议用户警惕恶意app,即使是从谷歌应用商店中下载的也不例外。此外,只从受信任品牌下载并查看其他用户留言。在安装app之前一定要验证app权限并只提供必要权限维护自身安全。
相关文章
- 2022全球脑机接口技术与应用发展研究报告(全文)
- 个性化脑机接口及应用
- 中国信通院周洁等:科技为翼助飞梦想 脑机为伴改变生活
- 微信小游戏开发从易到难分步骤自学讲义
- 第04步《前端篇》第1章创建第一个小游戏项目第1课
- 微信云开发被释放了,重新写了个足球游戏
- 分布式应用:从CAP理论到PACELC理论
- 微服务除了「微」这个优点,其它都是痛点
- Drug Discov Today|化学分子指纹的概念和应用
- 【ES三周年】ES6扩展运算符的应用
- 寒意之下,青云私有云为何逆势上扬?
- Elsevier发行新刊《Artificial Intelligence Chemistry》
- F5张振伦:让应用安全、快速、可靠地交付到需要的地方丨2022首届全球数字生态大会
- 信创基础设施迎来“升级潮”,可持续性架构成关键技术
- 浅析云边端协同架构的应用意义与EasyCVR视频融合能力升级
- 多种姿势花样使用Frida注入
- 啊啊啊!小程序小游戏也可以在自己的App上架❗️❗️
- 论文笔记《On The insecurity of SMS One-Time Password Message against Local Attackers in Modern Mobile Dev
- ROOT检测与绕过
- 使用Xposed进行微信小程序API的hook