安卓又曝新漏洞：用戶界面設計也能被黑

據phoneArena網站報道，作為全球用戶最多的智能手機操作系統，Android吸引黑客興趣并不讓人感到意外。谷歌每月發布軟件更新包，修正Android中已知缺陷和漏洞，不斷努力提高Android智能手機安全性的原因，就在于此。但是，造成缺陷的并非只是代碼中的錯誤，Android用戶界面中部分深思熟慮的特性，似乎也會使移動設備面臨風險。

一個小型安全團隊最近披露了Android用戶界面中的“設計問題”，據他們稱，網絡犯罪分子可以利用這些“設計問題”，神不知鬼不覺地從運行Android 7.1.2或早期版本Android的智能手機中竊取密碼和個人數據。

phoneArena表示，安全專家描述了一種被稱作“Cloak & Dagger”的新技術，黑客可以利用“Cloak & Dagger”，使惡意應用通過隱蔽但不設防的“一扇門”潛入智能手機。黑客利用“Cloak & Dagger”興風作浪只需要兩個權限：第一種權限對所謂的“draw on top”(用于在其他應用元素之上繪制窗口或應用元素)特性提供支持;第二種權限是“a11y”，被用來向殘疾用戶提供幫助的界面特性。但一旦被授予后，這兩種權限使黑客能完成各種惡意攻擊，例如記錄用戶輸入的每個詞匯——其中包括密碼，安裝具有能完全控制移動設備所需權限的惡意應用。

黑客能秘密發動攻擊的原因是，這兩種權限的處理方式不同于傳統權限，例如定位或WiFi使用。系統不會詢問用戶是否授予應用權限，“draw on top”權限會自動授予要求它的應用，例如Facebook Messenger。這種方式還使得應用能在用戶不知情的情況下獲得“a11y”權限。

phoneArena稱，但事情并非像表面上看起來那樣恐怖。首先，Android用戶界面缺陷是由安全專家而非黑客披露的，目前尚沒有利用“Cloak & Dagger”的已知攻擊或病毒出現。此外，所有相關信息已經提交給谷歌，因此它可能將在即將發布的軟件更新包中解決這一問題。事實上，谷歌已經在為其Android O平臺開發補丁軟件，限止應用在系統用戶界面上繪制其他元素。

如果在安裝應用時謹慎一些，用戶也無需過于擔心“Cloak & Dagger”攻擊，例如下載Google Play上受信任開發者發布的應用，在安裝前閱讀用戶評論。

如果用戶想更進一步，解決自動授予權限的問題很容易。在Android 7.1.2中，用戶可以依次打開“設置>應用>設置>特殊權限>在其他應用上繪制”，關閉“draw on top”權限;用戶可以在“設置>無障礙>服務”中查看哪些應用要求“a11y”權限。