研究人員發現了一種通過智能手機操作系統的脆弱性以92%的成功率進入Gmail帳戶的方法。
到目前為止,僅在Android設備上測試了安全缺陷。但是,研究人員聲稱可以在iOS和Windows Phone等其他操作系統中利用該漏洞。
密歇根大學和加利福尼亞大學伯恩斯大學工程學院的研究人員聲稱,他們能夠通過使用假裝是下載的應用程序的惡意軟件來獲得未經授權訪問Gmail和其他應用程序。攻擊通過惡意應用程序工作,例如背景牆紙,用於手機。一旦安裝了惡意軟件,攻擊者就可以利用智能手機操作系統中的公共側渠道,無需任何特權即可訪問。
該研究的標題為“窺視您的應用時沒有真正看到應用程序:UI州的推理和新穎的Android攻擊”,今天將在加利福尼亞州聖地亞哥的Usenix Security Security研討會上介紹。在論文中,團隊詳細介紹了團隊如何能夠入侵其他應用程序。
研究人員說,他們能夠從蔡斯銀行(Chase Bank)的應用程序中提起支票圖像。工程師的成功率同樣很高,該駭客率達到83%。該團隊還可以訪問亞馬遜,Newegg,H&R Block,Hotels.com和WebMD的應用程序中的信息。通過應用程序利用的安全孔更令人擔憂,因為它可用於竊取諸如社會安全號碼之類的敏感信息。但是,五個應用程序的技術有效性各不相同。 H&R Block的成功率最高,為92%,其次是Newegg,為86%,WebMD為85%,Hotels.com為83%,亞馬遜為48%。
“人們一直認為這些應用程序不能輕易互相干擾,”加州大學里弗賽德分校的助理教授Zhiyun Qian,說在聲明中。 “我們表明假設是不正確的,並且一個應用程序實際上會顯著影響另一個應用程序,並對用戶產生有害後果。”
為了防止攻擊,Qian建議用戶遠離“不受信任的應用程序”。他還敦促OS開發人員在未來的版本中完全消除側渠道。
