摘要:研究人员日前发现,在谷歌Android、微软Windows以及苹果iOS等三大操作系统上存在一处安全漏洞,该漏洞允许黑客利用恶意程序获取个人信该研究小组称,尽管他们的测试项目仅在Android手机操作系统上展开,但如黑客利用这种方法,可应用在三大系统上。因为三大系统均有一个相同点,即:三大平台上所有的应用都可以访问共享内存。 |
研究人员日前发现,在谷歌Android、微软Windows以及苹果iOS等三大操作系统上存在一处安全漏洞,该漏洞允许黑客利用恶意程序获取个人信该研究小组称,尽管他们的测试项目仅在Android手机操作系统上展开,但如黑客利用这种方法,可应用在三大系统上。因为三大系统均有一个相同点,即:三大平台上所有的应用都可以访问共享内存。
加州大学河滨分校助理教授称,“一直以来,我们假设手机上的这些应用无法轻易相互干扰。但我们通过测试发现,这一假设是不正确的,实际上一个应用程序能够显著影响另一个应用程序,从而为用户带来危害性后果。”
为了演示这一攻击方法,用户首先必须下载一个包含恶意代码的应用程序,比如一款壁纸应用。安装完成后,研究人员可以利用该应用来访问共享内存任意信息,而不再需要任何其他特权。然后研究人员通过监控共享内存变化,并能够关联修改各种活动,比如登录Gmail、美国布洛克税务公司,以及大通银行账号等等。黑客破解用户账号后,通过其他一些手段,能够实时准确地跟踪用户。
研究人员发现,在测试的七款应用中,上述三款应用最易受到攻击,破解成功率在82%至92%之间,其中Gmail破解成功率高达92%;而亚马逊账号最难破解,破解成功率仅为48%,因为该应用允许一次活跃操作转移至另一次活跃操作,这样的话很难猜测用户下一步具体将要做什么。研究人员称,为成功完成一次攻击,同时需要具备两个条件:首先,要掌握用户使用某一应用的确切时间;第二,需要攻击者在用户不知情的情况下,掌握这种攻击方法。
为了规避这一风险,该教授称,“不要安装不受信任的应用程序,”与此同时,用户在安装应用时应该对那些访问信息请求提高警惕。据悉,该团队将在8月23日于圣地亚哥举行的USENIX安全研讨会上公开这一研究成果。
责任编辑:余芯