凤凰科技讯 北京时间8月22日消息,据科技博客CNET报道,美国加州大学河滨分校伯恩斯工程学院(Bourns College of Engineering)和密歇根大学(University of Michigan)的研究人员日前联合发现,在谷歌Android、微软Windows以及苹果iOS等三大操作系统上存在一处安全漏洞,该漏洞允许黑客利用恶意程序获取个人信息。
该研究小组称,尽管他们的测试项目仅在Android手机操作系统上展开,但如黑客利用这种方法,可在三大系统上全部得手。这是因为三大系统均有一个相同点,即:三大平台上所有的应用都可以访问共享内存。
加州大学河滨分校助理教授Zhiyun Qian称,“一直以来,我们假设手机上的这些应用无法轻易相互干扰。但我们通过测试发现,这一假设是不正确的,实际上一个应用程序能够显著影响另一个应用程序,从而为用户带来危害性后果。”
为了演示这一攻击方法,用户首先必须下载一个包含恶意代码的应用程序,比如一款壁纸应用。安装完成后,研究人员可以利用该应用来访问共享内存任意信息,而不再需要任何其他特权。然后研究人员通过监控共享内存变化,并能够关联修改各种活动,比如登录Gmail、美国布洛克税务公司,以及大通银行账号等等。黑客破解用户账号后,通过其他一些手段,能够实时准确跟踪用户做了些什么。
研究人员发现,在测试的七款应用中,上述三款应用最易受到攻击,破解成功率在82%至92%之间,其中Gmail破解成功率高达92%;而亚马逊账号最难破解,破解成功率仅为48%,因为该应用允许一次活跃操作转移至另一次活跃操作,这样下来很难猜测用户下一步具体将要做什么。
研究人员称,为成功完成一次攻击,同时需要具备两个条件:首先,要掌握用户使用某一应用的确切时间;第二,需要攻击者在用户不知情的情况下,掌握这种攻击方法。密歇根大学电气工程系博士生Qi Alfred Chen表示,“在我们获悉用户使用银行App后,当他(她)进行登录账户时,我们可以在一个相同界面下进行登录。这种登录是无缝的,因为我们有这个时间。”
为了规避这一风险,加州大学河滨分校助理教授Zhiyun Qian称,“不要安装不受信任的应用程序,”与此同时,用户在安装应用时应该对那些访问信息请求提高警惕。据悉,该团队将在8月23日于圣地亚哥举行的USENIX安全研讨会上公开这一研究成果。
电科技(www.diankeji.com)是一家专注于全球TMT行业的领先资讯媒体。
作为今日头条青云计划、百家号百+计划获得者,2019百度数码年度作者、百家号科技领域最具人气作者、2019搜狗科技文化作者、2021百家号季度影响力创作者,曾荣获2013搜狐最佳行业媒体人、2015中国新媒体创业大赛北京赛季军、 2015年度光芒体验大奖、2015中国新媒体创业大赛总决赛季军、2018百度动态年度实力红人等诸多大奖。
投稿、商务合作请联络微信公众号
声明:本站原创文章文字版权归电科技所有,转载务必注明作者和出处;本站转载文章仅仅代表原作者观点,不代表电科技立场,图文版权归原作者所有。如有侵权,请联系我们删除。
