移动安全专家莱利·哈塞尔(Riley Hassell)称,Android系统中多个流行应用存在安全漏洞,极易遭受黑客攻击。
哈塞尔本打算在上周举行的黑帽黑客大会上发布这些漏洞,但最终决定不公布,以免被犯罪分子利用。
他表示,许多应用没有遵照安全指南编写代码,因此在面对外部攻击时非常脆弱,有些甚至使用短信即可入侵应用或手机。
哈塞尔拒绝透露这些应用的名字,以免黑客去攻击这些应用,但表示已通知谷歌这些漏洞。
谷歌发言人杰·南卡洛(Jay Nancarrow)表示,经过Android安全专家与哈塞尔等人的讨论,确认这些漏洞并非Android本身的。
相关:
Android系统存在设计漏洞 钓鱼网站随时出现
在8月初举行的骇客大会Defcon 19 上,有资安公司Trustwave 员工表示他们发现在Android 系统设计潜在严重安全漏洞,而且后果可大可小,轻则弹出令人反感的Pop-up 广告,重则遇到假冒登入页的钓鱼网站,收集使用者的个人资料或信用卡资讯以从事非法活动。
资安公司Trustwave 的开发人员Sean Schulte 称,Android 是个多工的作业环境,如果在同一时间运行多款App 的时候,个别App 要发出提醒或者推送资讯给使用者,都会透过萤幕顶端的通知栏上显示。但除此之外,原来Android SDK 开发套件还提供另一个办法,容许物件(Object)能够随时自行弹出,让用家在不知情的情况下被带至另一个页面。
Sean Schulte 表示这个设计上的漏洞是非常危险,不单可让广告肆意弹出造成极大困扰,也给骇客提供了方便之门,透过钓鱼网站(伪造真实网站)窃取用户的个人帐号和密码,甚至可轻易将木马病毒程式植入机内。 Sean Schulte 也在大会中利用Android App 当场示范,只是画面一闪而过,就可将手机版Facebook 的登入介面转换为模仿度极高的钓鱼网站,而且速度之快不让使用者有所察觉。
不过最令人担忧的是,暂时该功能并不能透过权限清单中发现,因为它被列入为Activity Service,只当作为基本功能之一。 Google 方面已就这个问题作出回应,表示该功能认为可提高App 与用户之间的互动性,而且到目前为止,未有发现任何利用该漏洞的攻击行为。看来Google 不会在短期内作出修改或推出防范措施,大家只好在使用手机时提高警觉,不要轻易输入任何敏感资料,免招损失。
本文来源:新浪科技 作者:佚名