在8月初舉行的駭客大會 Defcon 19 上,有資安公司 Trustwave 員工表示他們發現在 Android 系統設計潛在嚴重安全漏洞,而且後果可大可小,輕則彈出令人反感的 Pop-up 廣告,重則遇到假冒登入頁的釣魚網站,收集使用者的個人資料或信用卡資訊以從事非法活動。
資安公司 Trustwave 的開發人員 Sean Schulte 稱,Android 是個多工的作業環境,如果在同一時間運行多款 App 的時候,個別 App 要發出提醒或者推送資訊給使用者,都會透過螢幕頂端的通知欄上顯示。但除此之外,原來 Android SDK 開發套件還提供另一個辦法,容許物件(Object)能夠隨時自行彈出,讓用家在不知情的情況下被帶至另一個頁面。
Sean Schulte 表示這個設計上的漏洞是非常危險,不單可讓廣告肆意彈出造成極大困擾,也給駭客提供了方便之門,透過釣魚網站(偽造真實網站)竊取用戶的個人帳號和密碼,甚至可輕易將木馬病毒程式植入機內。Sean Schulte 也在大會中利用 Android App 當場示範,只是畫面一閃而過,就可將手機版 Facebook 的登入介面轉換為模仿度極高的釣魚網站,而且速度之快不讓使用者有所察覺。
不過最令人擔憂的是,暫時該功能並不能透過權限清單中發現,因為它被列入為 Activity Service,只當作為基本功能之一。Google 方面已就這個問題作出回應,表示該功能認為可提高 App 與用戶之間的互動性,而且到目前為止,未有發現任何利用該漏洞的攻擊行為。看來 Google 不會在短期內作出修改或推出防範措施,大家只好在使用手機時提高警覺,不要輕易輸入任何敏感資料,免招損失。
via: cnet