發現Android新漏洞 駭客可植入木馬程式
作者:Owen Ou
日期:
2011年度國際駭客大會(Defcon19)上周末在美國拉斯維加斯舉行,資安公司Trustwave在大會中表示,該公司發現Android平台的一個安全漏洞,此漏洞除了可讓廣告肆意Pop-up彈出,更可為駭客提供竊取用戶資料的方便之門。Trustwave開發人員Sean Schulte表示,駭客可藉此漏洞竊取用戶的個人帳號和密碼, 甚至可輕易將木馬病毒程式植入機內。
Sean Schulte指出,這個漏洞來自於Android SDK開發套件容許物件(object)能夠隨時自行彈出,讓用戶在不知情的情況下被帶至另一個畫面。他在現場示範,當使用者打開手機應用程式,連線到facebook登入畫面時,趁使用者不注意,模仿度極高的釣魚網站登入畫面一閃而過,即取代真正的facebook登入頁面。
由於Android平台開放這類應用程式檢查手機狀態,因此系統並不會出現任何警告訊息,提醒使用者小心這些偽裝的外來程式。而且因為此功能被列入為Activity Service,只當作基本功能之一,因此暫時並不能透過權限清單找到此功能。
Google方面已收到Trustwave的問題回報,該公司發言人回應表示,該功能認為可提高 App 與用戶之間的互動性,Android目前為止也並未發現有任何開發商利用程式漏洞設計出非法軟體,目前正嘗試在不損害合法程式功能的情況下改善問題,若發現某程式有任何類似情況,該程式將會立刻從Android軟體市集中移除。
事實上,由於Android是開放程式碼平台,在Android Marketplace早已發現過不少內含陷阱的程式,它們會模仿一些合法的程式,並取名為西洋棋(Chess)、保齡球時間(Bowling Time)、Super Guitar Solo 等,當專家與研究人員向 Google 提出警告後,Google會立即移除這些程式。