入侵 Gmail 有多难?嗅探阶段成功率 92%
关于手机安全性的讨论并非一天两天了,而近日的一项研究表明,三大主流操作系统存在漏洞,黑客入侵应用的成功率远远高于我们的想象。
上周五,在美国高等计算机系统协会(Usenix)的安全大会上,一份报告称,Android 操作系统上存在一个漏洞,黑客可以通过这个漏洞入侵应用,其中入侵 Gmail 的成功率高达 92%。不过这个成功率仅仅指嗅探阶段,黑客成功入侵还要配合后续手段。
这并不是 Gmail 应用的问题,而是三大操作系统的普遍问题。尽管这个研究针对 Android,研究人员表示 iOS 和 Windows Phone 都存在类似的漏洞。
用户下载一个包含恶意代码的应用程序,比如壁纸应用。安装完成后,黑客可以利用该应用来访问共享内存任意信息,而不再需要任何其他特权。之后,黑客通过监控共享内存变化,关联修改其他操作。这种特性会让系统进程有效地分享数据,因为手机所下载的所有应用都是跟同一个操作系统进行交互。
加州大学河滨分校助理教授 Zhiyun Qian 在报告中说,“一直以来,我们认为手机上的这些应用无法轻易相互干扰。但我们发现,这一假设是不正确的,事实上,一个应用程序能够显著影响另一个应用程序,从而为用户带来危害性后果。”
除了 Gmail,研究者还测试了其他应用。在嗅探阶段,从 Chase(大通银行)应用窃取支票图片的成功率是 83%,从布洛克税务公司(H&R Block)盗取地址、社会保险号等个人信息成功率达 92%,入侵 Newegg、WebMD、Hotels.com、亚马逊等应用的成功率也分别达到 86%、95%、83% 和 48%。
这一结果令人不寒而栗,不过,也有专家说不必草木皆兵。Android Centra 总编辑 Phil Nickinson 在 Twitter 上表示,“理论上,这个研究很有趣,但真要实施入侵的话,黑客们要做的事情还很多。”ABI Research 分析师 Menting 认为,实施这种入侵的技术门槛很高,因而它可能无法大范围的使用。
Zhiyun Qian 给出的建议是,不要安装任何不可信的应用。Identity Theft 911 和 Credit.com 的创始人 Adam Levin 也说:“用户应当保持警惕,热门应用往往是黑客的重点攻击目标。”
题图来自 CNET