Android又被盯上了 连用户界面设计都能被黑？

据phoneArena网站报道，作为全球用户最多的智能手机操作系统，Android吸引黑客兴趣并不让人感到意外。谷歌每月发布软件更新包，修正Android中已知缺陷和漏洞，不断努力提高Android智能手机安全性的原因，就在于此。但是，造成缺陷的并非只是代码中的错误，Android用户界面中部分深思熟虑的特性，似乎也会使移动设备面临风险。

 

一个小型安全团队最近披露了Android用户界面中的“设计问题”，据他们称，网络犯罪分子可以利用这些“设计问题”，神不知鬼不觉地从运行Android 7.1.2或早期版本Android的智能手机中窃取密码和个人数据。

 

phoneArena表示，安全专家描述了一种被称作“Cloak & Dagger”的新技术，黑客可以利用“Cloak & Dagger”，使恶意应用通过隐蔽但不设防的“一扇门”潜入智能手机。黑客利用“Cloak & Dagger”兴风作浪只需要两个权限：第一种权限对所谓的“draw on top”(用于在其他应用元素之上绘制窗口或应用元素)特性提供支持；第二种权限是“a11y”，被用来向残疾用户提供帮助的界面特性。但一旦被授予后，这两种权限使黑客能完成各种恶意攻击，例如记录用户输入的每个词汇——其中包括密码，安装具有能完全控制移动设备所需权限的恶意应用。

 

黑客能秘密发动攻击的原因是，这两种权限的处理方式不同于传统权限，例如定位或WiFi使用。系统不会询问用户是否授予应用权限，“draw on top”权限会自动授予要求它的应用，例如Facebook Messenger。这种方式还使得应用能在用户不知情的情况下获得“a11y”权限。

 

phoneArena称，但事情并非像表面上看起来那样恐怖。首先，Android用户界面缺陷是由安全专家而非黑客披露的，目前尚没有利用“Cloak & Dagger”的已知攻击或病毒出现。此外，所有相关信息已经提交给谷歌，因此它可能将在即将发布的软件更新包中解决这一问题。事实上，谷歌已经在为其Android O平台开发补丁软件，限止应用在系统用户界面上绘制其他元素。

 

如果在安装应用时谨慎一些，用户也无需过于担心“Cloak & Dagger”攻击，例如下载Google Play上受信任开发者发布的应用，在安装前阅读用户评论。

 

如果用户想更进一步，解决自动授予权限的问题很容易。在Android 7.1.2中，用户可以依次打开“设置>应用>设置>特殊权限>在其他应用上绘制”，关闭“draw on top”权限；用户可以在“设置>无障碍>服务”中查看哪些应用要求“a11y”权限。
深圳致远软件专业安卓开发