安卓一键授权功能存隐患:防毒软件无法侦测木马

  

  黑客安全大会在拉斯维加斯举行

  凤凰科技讯 北京时间8月5日消息,据科技博客PCWorld报道,在拉斯维加斯举办的黑客安全大会(Defcon security conference)上,专家指出,谷歌安卓平台内置的一键谷歌授权功能允许用户在谷歌网页上、无需重复输入密码即可登录各种应用,这使得谷歌账户面临被流氓软件(rogue apps)攻击的风险。

  这种功能俗称为“网页登陆(weblogin)”,通过产生一个固定的代理、直接利用在设备上已授权的账户登录谷歌网页上的应用。安全公司绊网(Tripwire)的研究员克雷格•杨(Craig Young)表示,网页登陆能提供更好的用户体验,但其却对用户个人的谷歌账户、以及谷歌应用商城账户造成潜在隐私和安全威胁。杨还展示了黑客如何利用一款流氓软件偷取用户的网页登陆代理、随后将其发回给黑客,使其能够利用这些账户侵入用户的网页浏览器、以获取该用户在谷歌应用商城、电邮、云盘(Drive)、日历、声音(Voice)以及其他谷歌服务上的信息。

  杨所展示的这款流氓软件伪装成一款在谷歌Play上发布、可观看谷歌财经的股票查询应用。在安装此款应用时,其将询求用户同意以便获得直接接入设备账户、并通过此账户直接联网。在运行时,这个应用又将再次寻求用户同意、以便能够利用网页登陆功能接入URL——其中包括谷歌财经的网站finance.google.com。这第二个步骤看似并未提供实质信息,故大多数用户都会同意接受。而一旦用户同意,一个网页登陆的代理就会生成,用户便能自动登入谷歌财经的网站。与此同时,这个代理也将通过一个加密的连接被虹吸出来至黑客的服务器。

  杨表示,更关键的问题在于,这个网页登陆的代理并不仅仅能登陆谷歌财经,其能够登陆所有谷歌所提供的服务。比如说,其能够让黑客进入用户的谷歌硬盘获取资料、通过电邮发邮件、在日历应用中编辑日程、接入谷歌网页搜索历史、或是存放在谷歌应用商城额敏感性的公司数据。其同时也能够接入用户在谷歌Play上的账户,并远程在用户设备上安全应用、或是在支持谷歌联合登陆(Google Federated Login)的第三方网页上登陆。

  如果用户是一个公司谷歌应用商城域名的管理员,这样的攻击将会影响到该公司整蛊谷歌应用商城的运营。黑客将能够重设域名密码、创造或修改全线、邮件列表、甚至是管理者。据杨称,这样的潜在威胁已经于今年2月反馈给了谷歌,其已开始禁止一些黑客攻击后可以运行的权限。比如说,入股偶一个黑客通过网页登陆代理获得授权,其不能使用谷歌外卖(Google Takeout)服务来获得整个谷歌账户的权限,也不能增加新的谷歌应用商城用户——尽管仍旧有些方法使得后一种禁令变得无效。

  杨利用其设计的应用程序展示了网页登陆代理能够很快生效,因为其采用了标准安卓API(application programming interface,应用程序界面)来获得这个代理。然而,如果应用程序利用漏洞来获得设备的根权限,其将能够在不经用户确认的情况下直接获得这个代理。研究员表示,这样的流氓软件很可能在谷歌Play里面潜伏一个月——直到有人将其视为恶意软件报告给谷歌,但在此期间,谷歌Play搜索恶意应用的服务Bouncer并不能探测出该流氓软件。即便其能够探测出该软件,Bouncer也不会将其报告为恶意软件,这就给Bouncer的有效性带来了挑战。

  在这种流氓软件被报告为恶意软件之后,谷歌Play就会将其移除。如果用户仍旧尝试安装这款软件,安卓本地应用认证功能则会将其视为后门程式而屏蔽。大部分安卓防毒产品无法侦测出杨所展示的这款软件为木马程序,仅有一个私人咨询软件将这个流氓软件报告为能够接入账户的软件。

  防毒厂商比特凡德(Bitdefender)的首席安全策略师亚历山德鲁•卡特琳•柯索依(Alexandru Catalin Cosoi)表示:“杨今日的演讲展示了,只要有足智多谋、肯下功夫,你便能轻易的侵入看起来保护的很好的系统。”柯索依认为,唯一能够阻止系统被侵入的方法就是增加攻击的难度,以使得第一层锁被破解之后还有一个新的锁摆在面前。弱点是经常能被找到的,所以持续性的研究毫无疑问能够提升诸如谷歌Bouncer这样的系统,使得黑客要攻击需付的代价更大。

  杨称,企业不允许其IT管理员在他们的安卓设备上使用谷歌账户。而用户也应该警惕那些要求账户授权的应用,且对于要求采用网页登陆等方式的请求说“不”。谷歌应增加一个选项,允许谷歌应用商城域名所有者阻止利用网页登陆的方式接入谷歌应用商城。同时,谷歌也应使得网页登陆的请求涵盖更多的信息,使得用户清楚地知道他们的权限何在。(编译/雪婷)

时间: 2024-10-12 21:41:39

安卓一键授权功能存隐患:防毒软件无法侦测木马的相关文章

android系统-如何在一个安卓项目中的某一个Activity加入一键截图功能

问题描述 如何在一个安卓项目中的某一个Activity加入一键截图功能 如何在一个安卓项目中的某一个Activity加入一键截图功能 实现起来复杂吗?我知道应该要root 解决方案 可以用View缓存来.用完记得关闭. View view = activity.getWindow().getDecorView(); view.setDrawingCacheEnabled(true); view.buildDrawingCache(); Bitmap b1 = view.getDrawingCac

台式电脑怎么安装F11一键还原功能

大家都知道许多笔记本都随机带有F11一键还原的功能,如果系统出现了无法修复的问题,我们就可以直接进行系统的还原,不用像从前那样花费大量的时间进行系统的重装.但是你可能不知道的是,其实台式电脑也一样能有这个功能. 在这里我们要讲述的是使用一个脱离DOS模式运行.有独立内核的Acronis True Image软件(简称ATI),来给台式电脑安装F11一键还原功能. 当然,第三方恢复软件也有很多,不过多基于DOS模式,备份还原时都要切换到DOS模式下完成,比较麻烦! 本文我们要讲述的是使用一个脱离D

如何亲手制作Win8一键恢复功能

  由于笔记本电脑已经相当普及了,因此本篇教程的方法主要围绕笔记本,适用于Win8单系统的恢复,不适合Win7+Win8双系统.该方法适用于除戴尔以外的所有笔记本. 本文所涉及工具和步骤较多,但如果严格按照步骤操作,一定能够获得成功(PC厂商也是使用类似方法,在出厂时制作一键恢复功能).这里简单拟出操作流程,便于大家理清思路. 我们就以联想电脑来做事例:首先创建一个较大容量的隐藏分区(也称OEM分区),然后用Ghost工具把事先准备的联想一键恢复工具文件(lenovo.GHO)释放到OEM分区中

如何制作Win8一键恢复功能

  Win8系统固然很稳定,但是我们不可能完全避免系统出现问题,因此打造一个Win8系统专属的一键恢复功能就势在必行,说到这里相信不少朋友想问这个一键恢复功能好打造吗?效果出色吗?这里就请大家放心,今天教程所要说的一键恢复功能制作非常简单,只要依靠一键恢复工具,再配合一系列相关工具就可以轻松制作了,并且效果明显. 由于笔记本电脑已经相当普及了,因此本篇教程的方法主要围绕笔记本,适用于Win8单系统的恢复,不适合Win7+Win8双系统.该方法适用于除戴尔以外的所有笔记本. 本文所涉及工具和步骤较

联想笔记本电脑如何使用一键恢复功能

  检查一键还原功能是否可用条件: 1)找到一键还原的软件,然后双击是否可以正常工作,如果你的一键还原软件不能用了可以去官网下载. 2)我们的一键还原功能是建立在隐藏分区上的,如果我们将这个分区删掉了,那么一键还原功能也就不能用了. 一.系统备份 1.首先要使用一键还原功能的话我们就要首先备份一下系统,没备份就只能恢复到出厂时的系统了,点击那个键盘上方的一键恢复按钮; 2.然后在弹出来的界面中选择"系统备份"选项; 3.当你在备份的时候提示建议你在备份过程中关闭所有打开的windows

一键搞定所有装机必备软件:360安全卫士

对于多数用户来讲,装一次系统得忙活半天: 首先装上360安全卫士, 然后用它给系统打补丁(安全第一),接下来装驱动.杀毒软件.应用程序--如果能一次性搞定所有软件,那就太好了. 360安全卫士最新4.0 beta2版已经为用户考虑到这一点了,其中集成了一个"360软件管理"组件,通过它,不仅能一键搞定所有补丁.常用软件的安装,而且能对它们进行统一管理,让你跟功能乏味的"添加/删除程序"彻底说拜拜! 一键搞定所有装机必备软件 对于重装系统的用户来讲,有两点是他们看重的

重新安装Windows对一键恢复功能有什么影响

操作步骤: 联想一键恢复功能按照机型系列不同大致可分为OKR(常见于Lenovo家用机型)和RNR(常见于Think商务机型)两种恢复方式,但两种恢复方式的功能组成基本相同:恢复功能和备份功能.   恢复功能的影响因素:   一键恢复的恢复功能安装在硬盘的隐藏分区中,若要保留一键恢复恢复功能,重新安装Windows系统到分区界面时,请务必不要改变系统C盘的分区大小及格式,也不要改动隐藏分区,否则一键恢复的恢复功能将会失效     若您已经破坏了一键恢复的恢复功能,或希望恢复此功能,您可以尝试联系

清华计算机系舒继武 CCF-ADL 讲习班上篇:闪存存储系统的软件

   雷锋网注:舒继武,现任清华大学教授. 博士生导师.近年来主要从事网络存储.存储安全.网络服务器.并行算法.并行处理技术及并行应用软件技术等方面的研究工作.他还是清华大学计算机科学与技术系分学位委员会委员, SNIA China(全球网络存储工业协会(中国))专家委员会委员,"高效能服务器和存储技术国家重点实验室"(浪潮集团)学术委员会委员.国家863计划信息技术领域"海量存储系统关键技术"重大项目总体专家组副组长. 6月14-16日,中国计算机学会学科前沿讲习

安卓一键刷机工具哪个好?安卓一键刷机工具有那里

odin刷机工具 odin3是三星的专属刷机工具,通过组合键或挖煤神器(就是针脚短接的小工具)进入三星挖煤模式(三星刷机模式,俗称挖煤)导入rom包就可以轻松刷机,成功率高,还可以修复recovery ,本站提供最新版odin3  刷机精灵 刷机精灵是由深圳瓶科技有限公司推出的一款运行于PC端的Android手机一键刷机软件,能够帮助用户在简短的流程内快速完成刷机升级.刷机精灵是由Ours团队推出的作品. 经验总结 在这么多的安卓一键刷机工具中我们会选择那个呢,我想如果是我我会选择第一个刷机工具