据外媒 25 日报道,安全研究人员于近期发现一种新型攻击手段 Cloak and Dagger( “ 斗篷与匕首 ” ),允许黑客完全控制任意版本的 Android 设备( 包括最新版本 7.1.2 )、窃取私人敏感数据,其中包括击键与聊天记录、设备 PIN 码、在线帐户密码、OTP 动态口令与通讯录联系人信息等。
有趣的是,此攻击手段并非利用 Android 生态系统中的任何漏洞,而是滥用流行应用商城中广泛使用的合法权限访问 Android 设备上的某些功能。Cloak and Dagger 主要利用 Android 系统的两项基本权限:
- SYSTEM_ALERT_WINDOW( “ draw on top ” ):合法覆盖功能,允许应用程序在 Android 设备屏幕上覆盖其他应用程序。
- BIND_ACCESSIBILITY_SERVICE( “ a11y ” ):帮助残障人士与视力受损的用户通过语音命令输入信息或使用屏幕阅读功能收听事件内容。
由于 Cloak and Dagger 无需利用任何恶意代码执行木马程序,因此黑客极易开发并提交恶意应用程序且不易被谷歌商店发现。据悉,黑客可在安装恶意应用程序后执行各种操作,主要包括高级劫持攻击、无限制访问击键记录、隐身网络钓鱼攻击、静默安装获得所有操作权限的 God-mode 应用、在保持屏幕关闭的状态下解锁手机进行任意操作等。
简而言之,黑客可以暗中接管用户 Android 设备并监视设备上的一举一动。目前,虽然研究人员已向 Google 披露该攻击手段,但由于此类问题源自 Android 操作系统设计缺陷且涉及两个标准功能的正常运行,因此该问题恐怕一时无法解决。安全专家建议用户始终从 Google Play 商店下载应用程序并在安装应用程序之前仔细检查权限设置。
原作者:Swati Khandelwal, 译者:青楚,译审:游弋
from hackernews.cc.thanks for it.