研究:Android有设计缺陷 可窃取用户数据
2013-04-17 18:58
232 查看
据国外媒体报道,研究人员发现谷歌Android移动操作系统软件有一个设计漏洞。犯罪分子利用这个漏洞能够通过钓鱼攻击窃取用户数据,广告商利用这个漏洞能够向手机发送讨厌的弹出式广告。Trustwave高级高级副总裁兼SpiderLabs实验室负责人Nicholas Percoco在DefCon黑客会议上发表这项研究成果之
前称,开发人员能够创建表面上无害的应用程序。当用户正在使用合法的银行应用程序的时候,这个应用程序显示一个假冒的银行应用程序登录页。
目前,要与用户进行沟通的应用程序在发现不同的应用程序的时候会在显示屏上面的工具条中发出警告。但是,Android软件开发工具中的应用程序编程接口能够用来把一个应用程序推向前台。
Trustwave的安全套阶层(SSL)开发人员Sean Schulte称,Android允许用户取消点击返回按钮的标准。因此,这个应用程序能够窃取这个重点。用户不能点击返回键退出。研究人员把这个漏洞称作重点窃取安全漏洞。
研究人员创建了一个概念证明工具。这个工具是一款游戏,但是,能够显示假冒的Facebook、亚马逊和谷歌语音等应用程序。这个工具在安装自己的时候是以作为合法的应用程序的一部分安装的并且注册为一项服务。因此,在手机起到之后,这个程序就恢复了。
在演示中,这些假冒的网页完全取代了合法的网页,因此,用户看不出什么区别。
Percoco称,由于这个设计漏洞,游戏或者应用程序开发人员能够创建有针对性的弹出式广告。
原文地址:点击打开链接
前称,开发人员能够创建表面上无害的应用程序。当用户正在使用合法的银行应用程序的时候,这个应用程序显示一个假冒的银行应用程序登录页。
目前,要与用户进行沟通的应用程序在发现不同的应用程序的时候会在显示屏上面的工具条中发出警告。但是,Android软件开发工具中的应用程序编程接口能够用来把一个应用程序推向前台。
Trustwave的安全套阶层(SSL)开发人员Sean Schulte称,Android允许用户取消点击返回按钮的标准。因此,这个应用程序能够窃取这个重点。用户不能点击返回键退出。研究人员把这个漏洞称作重点窃取安全漏洞。
研究人员创建了一个概念证明工具。这个工具是一款游戏,但是,能够显示假冒的Facebook、亚马逊和谷歌语音等应用程序。这个工具在安装自己的时候是以作为合法的应用程序的一部分安装的并且注册为一项服务。因此,在手机起到之后,这个程序就恢复了。
在演示中,这些假冒的网页完全取代了合法的网页,因此,用户看不出什么区别。
Percoco称,由于这个设计漏洞,游戏或者应用程序开发人员能够创建有针对性的弹出式广告。
原文地址:点击打开链接
相关文章推荐
- 研究:Android有设计缺陷 可窃取用户数据
- android设计中用户注册和后续数据验证
- Android后门GhostCtrl,完美控制设备任意权限并窃取用户数据
- Android后门GhostCtrl,完美控制设备任意权限并窃取用户数据
- 系统设计以及javascript笔记:用户行为分析研究之数据采集
- Android后门GhostCtrl,完美控制设备任意权限并窃取用户数据
- 系统设计以及javascript笔记:用户行为分析研究之数据采集
- 用户角色与权限的数据设计
- Android为什么要设计出Bundle而不是直接使用HashMap来进行数据传递
- [2.0.0]用户session分析模块之需求分析与数据设计
- Android L/5.0 数据连接设计更改
- Android FragmentPagerAdapter数据刷新notifyDataSetChanged没效果研究
- Android系统简单研究后的缺陷总结
- Android为什么要设计出Bundle而不是直接使用HashMap来进行数据传递?
- 黑客利用恶意软件窃取用户数据,通过代码签名证书加强安全防护
- Android基础入门教程——6.2 数据存储与访问之——SharedPreferences保存用户偏好参数
- 网站的数据挖掘--用户相似性研究(一)
- 一步一步教你在 Android 里创建自己的账号系统(二)--同步数据以及设计账号页面
- 校园数字化建设--注册中心投标文件研究(11)--公共数据库及数据模型设计
- 从Android的设计规则看Google的用户体验观