谷歌称在发布“安卓O”新版本前不会修复屏幕劫持漏洞
数百万台安卓智能手机都遭受一个严重的“屏幕劫持”漏洞影响,黑客能窃取用户密码、银行详情以及帮助勒索软件app窃取钱财。
谷歌声称发布“安卓O”版本前不会修复该漏洞
最糟糕的事情是,谷歌声称在发布“安卓O”版本之前不会修复这个漏洞,而新版本计划于今年第三季度发布。而最最糟糕的事情是数百万用户仍然还在等待来自原始设备制造商的安卓N版本的更新,也就是说多数安卓用户将至少在一年的时间里持续遭受勒索软件、广告软件和银行木马的袭击。
发现这个屏幕劫持漏洞的Check Point公司研究人员指出,问题源于一个名为 “SYSTEM_ALERT_WINDOW” 的新权限,它能让app出现在设备屏幕和其它app上方。让Facebook Messenger悬浮于手机屏幕并收到新消息提醒时使用的也是这个功能。
从2015年10月发布的安卓版本6开始,谷歌就更新了其策略,默认为直接从官方谷歌应用商店中安装的所有应用程序提供这个极其敏感的权限。这个功能能让恶意app劫持设备屏幕,这是犯罪分子广为使用的一种利用方法,他们通过这种方法让受害者遭受恶意软件和钓鱼攻击之害。
谷歌一直在使用一种自动化恶意软件扫描器Bouncer来查找恶意app并阻止它们进入谷歌应用商店。但遗憾的是,Bouncer并不能够将所有的恶意软件都拒之门外,读者应该对于“应用商店中出现勒索软件”、“数百万受广告软件感染的app攻击应用商店用户”这样的标题并不陌生。
近期,研究人员在应用商店中的多款安卓app中发现了“BankBot银行木马”,它利用SYSTEM_ALERT_WINDOW权限展示跟每个目标银行app的登录页面类似的布局并窃取银行密码。也就是说,数量未知且拥有这个危险权限的恶意app存在于谷歌应用商店中,威胁着数百万安卓用户的安全。
后记
研究人员指出,谷歌计划在“安卓O”版本中解决这个问题,通过创建一个名为TYPE_APPLICATION_OVERLAY的限制性权限拦截位于任何关键系统窗口顶部的视窗,从而能让用户访问设置并拦截展示告警视窗的app。同时,建议用户警惕恶意app,即使是从谷歌应用商店中下载的也不例外。此外,只从受信任品牌下载并查看其他用户留言。在安装app之前一定要验证app权限并只提供必要权限维护自身安全。
本文来自合作伙伴“阿里聚安全”,发表于 2017年05月12日 09:53.