安卓存惡意漏洞 或影響iOS和Windows

責(zé)任編輯:jacky

2014-08-25 08:49:35

摘自:賽迪網(wǎng)

8月25日消息,據(jù)國外媒體報道,加利福尼亞大學(xué)和密歇根大學(xué)的研究者發(fā)現(xiàn)了安卓系統(tǒng)的一個漏洞,它允許應(yīng)用程序被強行控制,而他們相信這個漏洞能夠以相同的方式被用來攻擊iOS和Windows的移動應(yīng)用程序。這個漏洞涉及到這樣的事實,雖然有沙箱以分隔應(yīng)用程序以避免其共享記憶發(fā)生問題

8月25日消息,據(jù)國外媒體報道,加利福尼亞大學(xué)和密歇根大學(xué)的研究者發(fā)現(xiàn)了安卓系統(tǒng)的一個漏洞,它允許應(yīng)用程序被強行控制,而他們相信這個漏洞能夠以相同的方式被用來攻擊iOS和Windows的移動應(yīng)用程序。

這個漏洞涉及到這樣的事實,雖然有沙箱以分隔應(yīng)用程序以避免其共享記憶發(fā)生問題,但應(yīng)用程序仍然共享著記憶空間。

盡管移動設(shè)備上的應(yīng)用程序被設(shè)計為在自己的沙箱內(nèi)運行代碼,但他們都大體依賴共同的圖形界面框架,即窗口管理,它在共享的記憶空間中操作。窗口管理負責(zé)在用戶的移動設(shè)備屏幕上表現(xiàn)圖形界面元素。

名為“雖未真正看到您的應(yīng)用程序,卻能窺見它:用戶界面狀態(tài)推理和異常安卓攻擊”的論文將于周五發(fā)表在加利福尼亞圣地亞哥高等計算機系統(tǒng)協(xié)會安全專題論文集中,作者為奇-阿爾弗雷德-陳(Qi Alfred Chen)和Z-莫爾里-毛(Z. Morley Mao),他們來自加利福尼亞大學(xué),這篇文章描述了他們?nèi)绾卫眠@個漏洞。

對系統(tǒng)的攻擊要求下載一個惡意應(yīng)用程序,并在安卓設(shè)備的后臺運行它。惡意程序被設(shè)計得不顯眼,它消耗很低的能量和最低的權(quán)限。它的工作是監(jiān)視窗口管理記憶空間并推斷其他應(yīng)用程序的行為。

通過在屏幕上監(jiān)視其他應(yīng)用程序的圖形元素,惡意程序能夠理解這些應(yīng)用程序正在做的事,然后精確地注入同步的虛假界面元素,例如登陸界面,以截獲登陸證書或欺騙用戶。這種技術(shù)通常被稱作“中間人攻擊”。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號