亚洲一区二区三区97,狠狠久久亚洲欧美专区

安卓存惡意漏洞或影響iOS和Windows

來源：賽迪網(wǎng)2014年8月25日【評(píng)論0條】字號(hào)：T|T

今日熱點(diǎn)

　　8月25日消息，據(jù)國外媒體報(bào)道，加利福尼亞大學(xué)和密歇根大學(xué)的研究者發(fā)現(xiàn)了安卓系統(tǒng)的一個(gè)漏洞，它允許應(yīng)用程序被強(qiáng)行控制，而他們相信這個(gè)漏洞能夠以相同的方式被用來攻擊iOS和Windows的移動(dòng)應(yīng)用程序。

　　這個(gè)漏洞涉及到這樣的事實(shí)，雖然有沙箱以分隔應(yīng)用程序以避免其共享記憶發(fā)生問題，但應(yīng)用程序仍然共享著記憶空間。

　　盡管移動(dòng)設(shè)備上的應(yīng)用程序被設(shè)計(jì)為在自己的沙箱內(nèi)運(yùn)行代碼，但他們都大體依賴共同的圖形界面框架，即窗口管理，它在共享的記憶空間中操作。窗口管理負(fù)責(zé)在用戶的移動(dòng)設(shè)備屏幕上表現(xiàn)圖形界面元素。

　　名為“雖未真正看到您的應(yīng)用程序，卻能窺見它：用戶界面狀態(tài)推理和異常安卓攻擊”的論文將于周五發(fā)表在加利福尼亞圣地亞哥高等計(jì)算機(jī)系統(tǒng)協(xié)會(huì)安全專題論文集中，作者為奇-阿爾弗雷德-陳(Qi Alfred Chen)和Z-莫爾里-毛(Z. Morley Mao)，他們來自加利福尼亞大學(xué)，這篇文章描述了他們?nèi)绾卫眠@個(gè)漏洞。

　　對(duì)系統(tǒng)的攻擊要求下載一個(gè)惡意應(yīng)用程序，并在安卓設(shè)備的后臺(tái)運(yùn)行它。惡意程序被設(shè)計(jì)得不顯眼，它消耗很低的能量和最低的權(quán)限。它的工作是監(jiān)視窗口管理記憶空間并推斷其他應(yīng)用程序的行為。

　　通過在屏幕上監(jiān)視其他應(yīng)用程序的圖形元素，惡意程序能夠理解這些應(yīng)用程序正在做的事，然后精確地注入同步的虛假界面元素，例如登陸界面，以截獲登陸證書或欺騙用戶。這種技術(shù)通常被稱作“中間人攻擊”。