国外一群研究人员发现Android、Windows和iOS移动操作系统中存在着一个共有的漏洞,他们相信黑客们可以利用这个漏洞轻松地窃取那些警惕性较差的用户的个人信息。
那些研究人员中包括加州大学河滨分校伯恩斯工程学院的一位助理教授,他们演示了利用该漏洞入侵Android手机的过程。
研究人员们在7款最流行的应用上对入侵的方法进行了测试,发现入侵其中6款应用时的成功率在82%到92%之间。最容易被入侵的应用包括Gmail、CHASE Bank和H&R Block。相比之下,最不容易被入侵的应用是亚马逊,成功率只有48%。
那些研究人员已于8月22日在圣地亚哥举行的第23届USENIX安全研讨会上发表了题为《偷窥你的应用:UI状态推论和Android攻击新方法》的报告。这份报告的作者包括:加州大学河滨分校伯恩斯工程学院计算机科学与工程系钱志云(Zhiyun Qian,音译)、密西根大学助理教授莫雷毛(Z. Morley Mao)以及他带的博士生陈奇(Qi Alfred Chen,音译)。
研究人员们相信,他们使用的入侵方法在其他操作系统上同样有效,因为这种入侵方法利用了Android系统中的一项关键功能,但是他们并未在其他操作系统上进行测试。
他们之所以做这项研究主要是因为他们认为由这么多开发员去开发这么多的应用本身就存在安全隐患。当用户将一批应用下载到自己的智能手机上的时候,那些应用将在同一个基础设施或操作系统上运行。
钱志云说:“人们通常会认为这些应用彼此之间不能轻易互动,但是我们证明了这一假设是不成立的,实际上一款应用可以对另一款应用造成巨大的影响,并给用户带来不利的后果。”
他们使用的攻击方式会让用户去下载一个看似良性实乃恶性的应用程序,比如管理手机背景图片的应用。一旦那个应用被安装到手机上,研究人员就能利用他们新发现的通道即某进程的共享内存统计数据发起攻击。
研究人员们通过监控共享内存的变化将那些变化与各种“活动转变事件”比如用户登录Gmail或H&R Block等一一对应起来,然后再利用其它的一些通道准确地追踪到目标应用正处于何种状态。
这种攻击方法有两个关键点。一是攻击必须在用户登录应用或拍照的时候进行;二是攻击必须在用户不知情的情况下进行。研究人员们在测试时小心谨慎地计算了发动攻击的时间。
钱志云说:“从设计上来说,Android运行应用被强占或拦截,但是你必须在特定的时间这样做,那样用户就不会察觉到。”
他们制作了3个短片来演示攻击的方法和过程。
研究人员们测试的7款应用和对应的入侵成功率分别为:Gmail(92%)、H&R Block(92%)、Newegg(86%)、WebMD(85%)、CHASE Bank(83%)、Hotels.com(83%)和Amazon(48%)。
亚马逊是上述应用中最难被攻破的应用,因为它的应用允许某项活动被转变成其他任何活动,这样就增加了攻击者猜对当前活动的难度。
当被问及智能手机用户应该如何避免受到这个问题的困扰时,钱志云回答说:“最好的做法就是不要安装不信任的应用。”他说,以后在操作系统的设计上应当更小心地在安全和功能之间寻找一个平衡点。