目录:
佐治亚理工学院和加州大学圣塔芭芭拉分校的研究人员发布了一份报告,说明Android Lollipop,Marshmallow和Nougat操作系统存在的几个漏洞。
根据研究人员的说法,恶意应用程序可以在Play商店中利用两个权限 - “在顶部绘制”和“可访问性服务”。
用户可能会使用其中一个漏洞或两者都受到攻击。 攻击者可以点击劫持,记录击键,窃取设备的安全PIN,将广告软件插入设备,还可以使用双因素身份验证令牌。
另请阅读:防止您的Android设备被勒索软件攻击的5个技巧。“Cloak&Dagger是一类影响Android设备的新型潜在攻击。 这些攻击允许恶意应用程序完全控制UI反馈循环并接管设备,而不会让用户有机会注意到恶意活动,“研究人员指出。
这个漏洞早就暴露了
本月早些时候,我们在Android操作系统中报告了类似的未修复漏洞,该漏洞将使用“System_Alert_Window”权限用于“在顶部绘制”。
此前,此权限 - System_Alert_Window - 必须由用户手动授予,但随着Facebook Messenger和其他使用屏幕弹出窗口的应用程序的出现,Google默认授予它。
虽然该漏洞如果被利用,可能会导致成熟的勒索软件或广告软件攻击,但黑客攻击并不容易。
此权限是Android设备上74%的勒索软件,57%的广告软件和14%的银行家恶意软件攻击的原因。
您从Play商店下载的所有应用都会被扫描以查找恶意代码和宏。 因此,攻击者必须绕过谷歌内置的安全系统才能进入应用程序商店。
谷歌最近还通过附加的安全层更新了其移动操作系统,该安全层扫描了通过Play商店下载到设备上的所有应用程序。
现在使用Android安全吗?
从Play商店下载的恶意应用会自动获得上述两项权限,攻击者可通过以下方式损害您的设备:
- 隐形网格攻击:攻击者将不可见的覆盖层绘制到设备上,允许它们记录击键。
- 即使屏幕关闭,也要窃取设备的PIN码并在后台操作。
- 将广告软件注入设备。
- 悄悄地探索网络和网络钓鱼。
研究人员联系了Google,了解了发现的漏洞,并确认虽然该公司已经实施了修复,但它们并非万无一失。
此更新禁用了覆盖,这可以防止不可见的网格攻击,但仍然可以使用Clickjacking,因为即使屏幕关闭,恶意应用也可以使用手机解锁方法解锁这些权限。
谷歌键盘也收到了一个更新,它不会阻止按键记录,但确保密码不会泄漏,只要在密码字段中输入值,现在键盘将密码记录为“点”而不是实际字符。
但也有一种方法可以被攻击者利用。
“由于可以枚举小部件及其设计为伪唯一的哈希码,因此哈希码足以确定用户实际点击了哪个键盘的按钮,”研究人员指出。
即使最新版本的Android在5月5日收到安全补丁,研究发现的所有漏洞仍然容易受到攻击。
研究人员向Google Play商店提交了一个应用程序,该应用程序需要上述两个权限并明确表现出恶意,但它已获得批准并仍可在Play商店中使用。 这表明Play商店的安全性并没有真正发挥作用。
什么是保持安全的最佳选择?
对于有权访问其中一个或两个的任何不受信任的应用程序,手动检查和禁用这两个权限是最好的选择
您可以通过以下方式检查哪些应用可以访问您设备上的这两个“特殊”权限。
- Android Nougat:“画在上面” - 设置 - >应用程序 - >'齿轮符号(右上角) - >特殊访问 - >绘制其他应用程序
'a11y':设置 - >辅助功能 - >服务:检查哪些应用需要a11y。
- Android Marshmallow: “在顶部绘制” - 设置 - >应用程序 - >“齿轮符号”(右上角) - >绘制其他应用程序。
a11y:设置→辅助功能→服务:检查哪些应用需要a11y。
- Android Lollipop: “在顶部绘制” - 设置 - >应用程序 - >点击个人应用程序并查找“绘制其他应用程序”
a11y:设置 - >辅助功能 - >服务:检查哪些应用需要a11y。
谷歌将提供进一步的安全更新,以解决研究人员发现的问题。
另请阅读:以下是如何从手机中删除勒索软件。虽然其中一些漏洞将通过以下更新得到解决,但围绕“最终绘制”权限的问题仍然存在,直到Android O发布。
互联网上的安全风险正在大规模增长,目前,保护您设备的唯一方法是安装可信赖的防病毒软件并成为一名自卫队员。