关于手机安全性的讨论并非一天两天了,而近日的一项研究表明,三大主流操作系统存在漏洞,黑客入侵应用的成功率远远高于我们的想象。
上周五,在美国高等计算机系统协会(Usenix)的安全大会上,一份报告称,Android 操作系统上存在一个漏洞,黑客可以通过这个漏洞入侵应用,其中入侵 Gmail 的成功率高达 92%。
这并不是 Gmail 应用的问题,而是三大操作系统的普遍问题。尽管这个研究仅仅针对 Android,研究人员表示 iOS 和 Windows Phone 都存在类似的漏洞。
用户下载一个包含恶意代码的应用程序,比如壁纸应用。安装完成后,黑客可以利用该应用来访问共享内存任意信息,而不再需要任何其他特权。之后,黑客通过监控共享内存变化,关联修改其他操作。这种特性会让系统进程有效地分享数据,因为手机所下载的所有应用都是跟同一个操作系统进行交互。
加州大学河滨分校助理教授 Zhiyun Qian 在报告中说,“一直以来,我们认为手机上的这些应用无法轻易相互干扰。但我们发现,这一假设是不正确的,事实上,一个应用程序能够显著影响另一个应用程序,从而为用户带来危害性后果。”
除了 Gmail,研究者还测试了其他应用。从 Chase(大通银行)应用窃取支票图片的成功率是 83%,从布洛克税务公司(H&R Block)盗取地址、社会保险号等个人信息成功率达 92%,入侵 Newegg、WebMD、Hotels.com、亚马逊等应用的成功率也分别达到 86%、95%、83% 和 48%。
这一结果令人不寒而栗,不过,也有专家说不必草木皆兵。Android Centra 总编辑 Phil Nickinson 在 Twitter 上表示,“理论上,这个研究很有趣,但真要实施入侵的话,黑客们要做的事情还很多。”ABI Research 分析师 Menting 认为,实施这种入侵的技术门槛很高,因而它可能无法大范围的使用。
Zhiyun Qian 给出的建议是,不要安装任何不可信的应用。Identity Theft 911 和 Credit.com 的创始人 Adam Levin 也说:“用户应当保持警惕,热门应用往往是黑客的重点攻击目标。”
原文链接:http://bluereader.org/article/504151
核总点评:
参考国内各种内存外挂,八门神器、烧饼修改器等……
各种吐槽:
1#
走火入魔 (要致富!先脱裤!) | 2014-08-25 12:15
@网警
2#
mramydnei | 2014-08-25 12:20
我就看到android了。安卓和IE在我心目中属于同样的地位
3#
小乐天 | 2014-08-25 12:22
翻译的很好
4#
动后河 (类的继承) | 2014-08-25 12:32
看标题还以为是盗gmail
------------------------------------
United States
Scottsdale, Arizona
IP: 184.168.221.79
Domain: wooyun.org
5#
银冥币 (http://隐泉屋.cc/?) | 2014-08-25 14:42
@动后河 what this ,小尾巴?
6#
xsser (十根阳具有长短!!) | 2014-08-25 15:14
能读取详细内存内容?
7#
blue (bluereader.org) | 2014-08-25 15:25
@xsser 应该是可以,还是得这方面的牛人们研究下 @瘦蛟舞
8#
dream | 2014-08-25 16:00
关键是怎么让用户下载一个包含恶意代码的应用程序,尤其是针对指定用户的,还是挺难的吧@blue
9#
动后河 (类的继承) | 2014-08-25 17:32
@银冥币 这是乌云zone主机信息
10#
银冥币 (http://隐泉屋.cc/?) | 2014-08-25 18:16
@动后河 ...最讨厌英文了QuQ
11#
blue (bluereader.org) | 2014-08-25 19:15
@dream 这是漏洞利用的基础嘛,像反射xss一样,总是要用户参与的;现在android 4.0以上确实不好自动安装了
12#
applychen | 2014-08-25 20:00
在手机上设置代理更加直接……
13#
雷锋 (看人生万般无奈,看世间千姿百态) | 2014-08-25 21:14
去网吧把手机数据线连接插在主机10分钟。啥也没干,拔掉数据线。手机里面增加N个应用。。。
14#
炯炯虾 | 2014-08-25 21:32
还90% 我就不装 你能把我咋滴
15#
blue (bluereader.org) | 2014-08-26 10:43
@雷锋 都是那些手机助手搞的事儿
16#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-08-26 11:37
参考国内各种内存外挂,八门神器、烧饼修改器等……
17#
blue (bluereader.org) | 2014-08-26 12:23
@核攻击 楼上一语中的,非root机是否也有可修改内存的例子?
留言评论(旧系统):