安卓新漏洞，可让黑客接管你的通话

Jumbo

这一次,一切都受到了影响!

据报道,谷歌的移动平台操作系统——安卓,被披露了另一个潜在的高危漏洞。

本月,安卓系统已经受到了大量的安全漏洞威胁,包括影响了全球9.5亿Android设备的Stagefright漏洞,一个多媒体服务器的高危安全漏洞也威胁着超过55%的安卓设备。

上周被发现的另一个关键的漏洞(CVE-2015-3842),几乎影响了所有版本的Android设备。

现在这个问题存在于安卓手机的多任务功能,可以在同一时间允许多个应用程序。

滨州州立大学和FireEye的研究人员的最新研究表明,该漏洞让黑客能够监听Android手机的用户,窃取账号密码,安装恶意软件,甚至搞更多的破坏。

---

攻击是如何运作的?

据安全研究人员称,当一个Android应用程序被运行时,该漏洞可以被用来引诱用户在一个由黑客控制的伪造的用户界面不知不觉地交出自己的登录信息。

设备所有者根本没有意识到他们正在键入自己的敏感信息到一个伪装成合法Android程序的恶意软件。

安全研究人员在于华盛顿举行的USENIX安全15会议的上一周将研究成果发表在了一篇题为“关于在安卓中发现和理解任务劫持(Towards Discovering and Understanding Task Hijacking in Android)”[PDF]的文章中。

这项研究讲解了在不同于多任务桌面操作系统的安卓多任务系统,在其运行一个或者多个APP于单个或多个进程并同时创建多任务的时候他们的不同之处的实践细节,

安卓系统中的多任务有这样一些好处:

可以在应用程序之间切换

应用程序能够保持他们在后台的状态

非常容易地进行任务或者程序的切换

大规模的任务劫持攻击

安卓系统的任务管理机制受到严重安全风险的威胁。当被利用的时候,这些便捷的多任务功能会适得其反,并且会触发一个大规模的任务劫持攻击。

研究人员分析了来自多个安卓应用程序商店的680多万个应用程序,发现该任务劫持缺陷在所有应用程序中都非常普遍。由于许多安卓应用程序都依赖于“当前的多任务设计”,所以要想打击任务劫持是非常不容易的。

研究人员还称,该漏洞还可以模拟应用程序的用户界面,它是由另一方的攻击者控制的。

攻击者正在部署网络钓鱼攻击来窃取安卓用户的隐私数据。

不过更可能的情况是,用户随时都会成为被勒索的受害者,因为它们随时可能受到分布式拒绝服务(DDoS)等网络攻击。

参与研究报告的Android漏洞研究团队的五个安全研究成员分别是:来自滨州州立大学的刘鹏、任川港,还有FireEye的张玉龙、陶伟和薛辉。

“我们很感激这个理论研究,因为它让安卓的安全性变得更强了,”一位谷歌女发言人说。

“你们是安全的,正如谷歌所说的客户在劫持和网络钓鱼攻击这方面是受到保护的,因为安卓具有应用程序验证功能和安全网络功能,此外您还可以通过从受信任的来源安装应用程序,来确保您的设备安全”。