【国际资讯】谷歌称在发布“安卓O”新版本前不会修复屏幕劫持漏洞

阅读量83733

|

发布时间 : 2017-05-11 17:21:43

x
译文声明

本文是翻译文章,文章来源:thehackernews.com

原文地址:http://thehackernews.com/2017/05/android-permissions-vulnerability.html

译文仅供参考,具体内容表达以及含义原文为准。

http://p8.qhimg.com/t01a4aa2120db8968f1.png

翻译:360代码卫士

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿


前言

数百万台安卓智能手机都遭受一个严重的“屏幕劫持”漏洞影响,黑客能窃取用户密码、银行详情以及帮助勒索软件app窃取钱财。


谷歌声称发布“安卓O”版本前不会修复该漏洞

最糟糕的事情是,谷歌声称在发布“安卓O”版本之前不会修复这个漏洞,而新版本计划于今年第三季度发布。而最最糟糕的事情是数百万用户仍然还在等待来自原始设备制造商的安卓N版本的更新,也就是说多数安卓用户将至少在一年的时间里持续遭受勒索软件、广告软件和银行木马的袭击。

发现这个屏幕劫持漏洞的Check Point公司研究人员指出,问题源于一个名为 “SYSTEM_ALERT_WINDOW” 的新权限,它能让app出现在设备屏幕和其它app上方。让Facebook Messenger悬浮于手机屏幕并收到新消息提醒时使用的也是这个功能。

从2015年10月发布的安卓版本6开始,谷歌就更新了其策略,默认为直接从官方谷歌应用商店中安装的所有应用程序提供这个极其敏感的权限。这个功能能让恶意app劫持设备屏幕,这是犯罪分子广为使用的一种利用方法,他们通过这种方法让受害者遭受恶意软件和钓鱼攻击之害。

http://p3.qhimg.com/t01a813df7f7808b183.jpg

谷歌一直在使用一种自动化恶意软件扫描器Bouncer来查找恶意app并阻止它们进入谷歌应用商店。但遗憾的是,Bouncer并不能够将所有的恶意软件都拒之门外,读者应该对于“应用商店中出现勒索软件”、“数百万受广告软件感染的app攻击应用商店用户”这样的标题并不陌生。

近期,研究人员在应用商店中的多款安卓app中发现了“BankBot银行木马”,它利用SYSTEM_ALERT_WINDOW权限展示跟每个目标银行app的登录页面类似的布局并窃取银行密码。也就是说,数量未知且拥有这个危险权限的恶意app存在于谷歌应用商店中,威胁着数百万安卓用户的安全。


后记

研究人员指出,谷歌计划在“安卓O”版本中解决这个问题,通过创建一个名为TYPE_APPLICATION_OVERLAY的限制性权限拦截位于任何关键系统窗口顶部的视窗,从而能让用户访问设置并拦截展示告警视窗的app。同时,建议用户警惕恶意app,即使是从谷歌应用商店中下载的也不例外。此外,只从受信任品牌下载并查看其他用户留言。在安装app之前一定要验证app权限并只提供必要权限维护自身安全。

本文翻译自thehackernews.com 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
奇安信代码卫士
分享到:微信

发表评论

奇安信代码卫士

奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。微信公号:codesafe。

  • 文章
  • 387
  • 粉丝
  • 104

热门推荐

文章目录
内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66