在8月初举行的骇客大会Defcon 19 上,有资安公司Trustwave 员工表示他们发现在Android 系统设计潜在严重安全
漏洞,而且后果可大可小,轻则弹出令人反感的Pop-up 广告,重则遇到假冒登入页的钓鱼网站,收集使用者的个人资料或信用卡资讯以从事非法活动。
资安公司Trustwave 的开发人员Sean Schulte 称,Android 是个多工的作业环境,如果在同一时间运行多款App 的时候,个别App 要发出提醒或者推送资讯给使用者,都会透过萤幕顶端的通知栏上显示。但除此之外,原来Android SDK 开发套件还提供另一个办法,容许物件(Object)能够随时自行弹出,让用家在不知情的情况下被带至另一个页面。
Sean Schulte 表示这个设计上的漏洞是非常危险,不单可让广告肆意弹出造成极大困扰,也给骇客提供了方便之门,透过钓鱼网站(伪造真实网站)窃取用户的个人帐号和密码,甚至可轻易将木马
病毒程式植入机内。 Sean Schulte 也在大会中利用Android App 当场示范,只是画面一闪而过,就可将
手机版Facebook 的登入介面转换为模仿度极高的钓鱼网站,而且速度之快不让使用者有所察觉。
不过最令人担忧的是,暂时该功能并不能透过权限清单中发现,因为它被列入为Activity Service,只当作为基本功能之一。
google 方面已就这个问题作出回应,表示该功能认为可提高App 与用户之间的互动性,而且到目前为止,未有发现任何利用该漏洞的攻击行为。看来Google 不会在短期内作出修改或推出防范措施,
大家只好在使用手机时提高警觉,不要轻易输入任何敏感资料,免招损失。
本
