2014年8月25日 星期一

從手機入侵 Gmail 有多難?成功率 92%

從手機入侵 Gmail 有多難?成功率 92%

20130607_Gmail_4.5_icons_001_meitu_1

關於手機安全性的討論並非一天兩天了,而近日的一項研究表明,三大主流作業系統存在漏洞,駭客入侵應用的成功率遠遠高於我們的想像。

上週五,在美國高等電腦系統協會(Usenix)的安全大會上,一份報告稱,Android 作業系統上存在一個漏洞,駭客可以通過這個漏洞入侵應用,其中入侵 Gmail 的成功率高達 92%。

這並不是 Gmail 應用的問題,而是三大作業系統的普遍問題。儘管這個研究僅僅針對 Android,研究人員表示 iOS 和 Windows Phone 都存在類似的漏洞。

使用者下載一個包含惡意程式碼的應用程式,比如桌布應用。安裝完成後,駭客可以利用該應用程式來訪問共用記憶體任意資訊,而不再需要任何其他特權。之後,駭客透過監控共用記憶體變化,關聯修改其他操作。這種特性會讓系統進程有效地分享資料,因為手機所下載的所有應用程式都是跟同一個作業系統進行交互。

加州大學河濱分校助理教授 Zhiyun Qian 在報告中說,「一直以來,我們認為手機上的這些應用無法輕易相互干擾。但我們發現,這一假設是不正確的,事實上,一個應用程式能夠顯著影響另一個應用程式,從而為使用者帶來危害性後果。」

除了 Gmail,研究者還測試了其他應用。從 Chase(大通銀行)應用程式竊取支票圖片的成功率是 83%,從布洛克稅務公司(H&R Block)盜取位址、社會保險號等個人資訊成功率達 92%,入侵 Newegg、WebMD、Hotels.com、亞馬遜等應用的成功率也分別達到 86%、95%、83% 和 48%。

這一結果令人不寒而慄,不過,也有專家說不必草木皆兵。Android Centra 總編輯 Phil Nickinson 在 Twitter 上表示,「理論上,這個研究很有趣,但真要實施入侵的話,駭客們要做的事情還很多。」ABI Research 分析師 Menting 認為,實施這種入侵的技術門檻很高,因而它可能無法大範圍的使用。

Zhiyun Qian 給出的建議是,不要安裝任何不可信的應用程式。Identity Theft 911 和 Credit.com 的創始人 Adam Levin 也說:「用戶應當保持警惕,熱門應用程式往往是駭客的重點攻擊目標。」

轉載自《科技新報