研究:Android有设计缺陷 可窃取用户数据
2011-08-08 17:43
302 查看
据国外媒体报道,研究人员发现谷歌Android移动操作系统软件有一个设计漏洞。犯罪分子利用这个漏洞能够通过钓鱼攻击窃取用户数据,广告商利用这个漏洞能够向手机发送讨厌的弹出式广告。Trustwave高级高级副总裁兼SpiderLabs实验室负责人Nicholas Percoco在DefCon黑客会议上发表这项研究成果之 前称,开发人员能够创建表面上无害的应用程序。当用户正在使用合法的银行应用程序的时候,这个应用程序显示一个假冒的银行应用程序登录页。
目前,要与用户进行沟通的应用程序在发现不同的应用程序的时候会在显示屏上面的工具条中发出警告。但是,Android软件开发工具中的应用程序编程接口能够用来把一个应用程序推向前台。
Trustwave的安全套阶层(SSL)开发人员Sean Schulte称,Android允许用户取消点击返回按钮的标准。因此,这个应用程序能够窃取这个重点。用户不能点击返回键退出。研究人员把这个漏洞称作重点窃取安全漏洞。
研究人员创建了一个概念证明工具。这个工具是一款游戏,但是,能够显示假冒的Facebook、亚马逊和谷歌语音等应用程序。这个工具在安装自己的时候是以作为合法的应用程序的一部分安装的并且注册为一项服务。因此,在手机起到之后,这个程序就恢复了。
在演示中,这些假冒的网页完全取代了合法的网页,因此,用户看不出什么区别。
Percoco称,由于这个设计漏洞,游戏或者应用程序开发人员能够创建有针对性的弹出式广告。
http://www.gfan.com/news/oversea/2011080811342.html
目前,要与用户进行沟通的应用程序在发现不同的应用程序的时候会在显示屏上面的工具条中发出警告。但是,Android软件开发工具中的应用程序编程接口能够用来把一个应用程序推向前台。
Trustwave的安全套阶层(SSL)开发人员Sean Schulte称,Android允许用户取消点击返回按钮的标准。因此,这个应用程序能够窃取这个重点。用户不能点击返回键退出。研究人员把这个漏洞称作重点窃取安全漏洞。
研究人员创建了一个概念证明工具。这个工具是一款游戏,但是,能够显示假冒的Facebook、亚马逊和谷歌语音等应用程序。这个工具在安装自己的时候是以作为合法的应用程序的一部分安装的并且注册为一项服务。因此,在手机起到之后,这个程序就恢复了。
在演示中,这些假冒的网页完全取代了合法的网页,因此,用户看不出什么区别。
Percoco称,由于这个设计漏洞,游戏或者应用程序开发人员能够创建有针对性的弹出式广告。
http://www.gfan.com/news/oversea/2011080811342.html
相关文章推荐
- 研究:Android有设计缺陷 可窃取用户数据
- Android后门GhostCtrl,完美控制设备任意权限并窃取用户数据
- 系统设计以及javascript笔记:用户行为分析研究之数据采集
- android设计中用户注册和后续数据验证
- Android后门GhostCtrl,完美控制设备任意权限并窃取用户数据
- 系统设计以及javascript笔记:用户行为分析研究之数据采集
- Android后门GhostCtrl,完美控制设备任意权限并窃取用户数据
- android 1.6 联系人数据的研究
- [个人开发者如何赚钱三]分析市场,研究用户,设计产品
- Android Data Binding(数据绑定)用户指南
- Cuyahoga研究三:用户配置数据的处理
- 用户权限设计(四)——基于RBAC模型的通用权限管理系统的设计(数据模型)的扩展
- Android 数据存储与访问之——SharedPreferences保存用户偏好参数
- 大数据早报:时装设计也用上了人工智能,亚马逊研究出新算法;上海地铁趣味消费数据发布(9.12)
- Android 判断用户2G/3G/4G移动数据网络
- Android数据存储和访问之SharedPreferences存储方式_用户登录记住密码案例
- 校园数字化建设--注册中心投标文件研究(9)--公共数据库及数据模型设计
- Android为什么要设计出Bundle而不是直接使用HashMap来进行数据传递
- 互联网产品设计进阶笔记(18)有关互联网用户研究的热讯站点
- 我的android 第26天 - 当ContentProvider中数据发生变化时向其用户发出通知