灯火互联
管理员
管理员
  • 注册日期2011-07-27
  • 发帖数41778
  • QQ
  • 火币41290枚
  • 粉丝1086
  • 关注100
  • 终身成就奖
  • 最爱沙发
  • 忠实会员
  • 灌水天才奖
  • 贴图大师奖
  • 原创先锋奖
  • 特殊贡献奖
  • 宣传大使奖
  • 优秀斑竹奖
  • 社区明星
阅读:1739回复:0

Android 系统存在设计漏洞 钓鱼网站随时出现

楼主#
更多 发布于:2011-08-15 10:09
在8月初举行的骇客大会Defcon 19 上,有资安公司Trustwave 员工表示他们发现在Android 系统设计潜在严重安全漏洞,而且后果可大可小,轻则弹出令人反感的Pop-up 广告,重则遇到假冒登入页的钓鱼网站,收集使用者的个人资料或信用卡资讯以从事非法活动。
资安公司Trustwave 的开发人员Sean Schulte 称,Android 是个多工的作业环境,如果在同一时间运行多款App 的时候,个别App 要发出提醒或者推送资讯给使用者,都会透过萤幕顶端的通知栏上显示。但除此之外,原来Android SDK 开发套件还提供另一个办法,容许物件(Object)能够随时自行弹出,让用家在不知情的情况下被带至另一个页面。
Sean Schulte 表示这个设计上的漏洞是非常危险,不单可让广告肆意弹出造成极大困扰,也给骇客提供了方便之门,透过钓鱼网站(伪造真实网站)窃取用户的个人帐号和密码,甚至可轻易将木马病毒程式植入机内。 Sean Schulte 也在大会中利用Android App 当场示范,只是画面一闪而过,就可将手机版Facebook 的登入介面转换为模仿度极高的钓鱼网站,而且速度之快不让使用者有所察觉。
不过最令人担忧的是,暂时该功能并不能透过权限清单中发现,因为它被列入为Activity Service,只当作为基本功能之一。 google 方面已就这个问题作出回应,表示该功能认为可提高App 与用户之间的互动性,而且到目前为止,未有发现任何利用该漏洞的攻击行为。看来Google 不会在短期内作出修改或推出防范措施,大家只好在使用手机时提高警觉,不要轻易输入任何敏感资料,免招损失。



喜欢0 评分0
游客

返回顶部