窃取数据
美国安全公司Trustwave高级副总裁兼SpiderLabs主管尼古拉斯-柏库克(Nicholas Percoco)表示,开发者可以创建表面看起来没有问题的应用,但是当用户使用合法的银行应用时,该应用便会启动虚假的银行应用登录页面。
柏库克表示,当用户正在查看一款应用时,如果还有应用想要与用户交流,只需要在屏幕顶端的通知栏上发布提示即可。但在Android的SDK(软件开发套件)中却有一个API(应用编程接口),可以将特定的应用推向前台。
“Android允许你取消‘返回’按钮。”Trustwave的SSL开发者肖恩-舒尔特(Sean Schulte)说。柏库克则补充道:“正因如此,应用可以窃取用户的注意力,而且无法点击返回按钮或是退出。”他们已经将该漏洞命名为“注意力窃取漏洞”。
研究人员已经创建了一个验证工具,表面看来只是一个游戏,但却可以弹出虚假的Facebook、亚马逊、谷歌语音以及Gmail客户端登录界面。这款工具可以作为一款合法应用的一部分进行加载,并且注册为一项服务,所以当手机重启后仍会继续存在。
在演示过程中,当用户打开这款应用,并看到Facebook的登录界面后,唯一有些奇怪的地方是屏幕上的一个快速闪烁的光点,但多数用户都不会注意到。这个虚假屏幕与真实的登录屏幕完全一样,用户无法看出其中的差异。
弹出广告
柏库克表示,借助这一设计缺陷,游戏和应用开发者可以制作精准弹出广告。这种广告不仅非常恼人,而且可以进行精准定位:当用户启动竞争对手的应用时,便可以弹出相应的广告。
舒尔特表示,当用户下载应用时,不会收到任何提示信息,因为Android系统允许应用检查手机使用状态。柏库克称,他们几周前就已经与谷歌员工取得了联系,对方承认存在问题,并表示将努力解决这一问题。
谷歌发言人称:“在应用间切换的目的是为了鼓励应用之间展开更为丰富的互动。我们尚未发现Android Market中有应用利用这项技术,我们将删除所有存在这种情况的应用。”
柏库克则对此回应道:“应用切换不是问题,关键问题在于其他应用能够判断哪个应用位于前台,并在未获用户许可的情况下启动应用,并跳到屏幕前端。我们还发现,用户根本无法区分恶意应用和合法应用之间的区别。”
他补充道,由于黑客发布应用的速度比谷歌的反应速度快得多,因此等到用户汇报恶意程序之后再移除相关应用的做法非常危险。
