加州大學河濱分校的助理教授,是一個以開發(fā)新技術來攻擊安卓應用為目的的團隊成員����,當然這個團隊研究也會涉及到相關的事物,如操作系統(tǒng)等等�。
成都創(chuàng)新互聯(lián)企業(yè)建站,十年網(wǎng)站建設經(jīng)驗,專注于網(wǎng)站建設技術����,精于網(wǎng)頁設計,有多年建站和網(wǎng)站代運營經(jīng)驗�����,設計師為客戶打造網(wǎng)絡企業(yè)風格���,提供周到的建站售前咨詢和貼心的售后服務����。對于成都網(wǎng)站建設�、做網(wǎng)站中不同領域進行深入了解和探索,創(chuàng)新互聯(lián)在網(wǎng)站建設中充分了解客戶行業(yè)的需求�,以靈動的思維在網(wǎng)頁中充分展現(xiàn),通過對客戶行業(yè)精準市場調研,為客戶提供的解決方案����。
[[119031]]
有一只團隊已經(jīng)開發(fā)了一種新方法,他們由此能夠以高達92%的成功率黑入應用程序����。
加州大學河濱分校的一個研究團隊,其中包括加州大學濱江伯恩斯工程學院的一名助理教授�。已經(jīng)確認他們發(fā)現(xiàn)了安卓、Windows����,iOS移動操作系統(tǒng)中的一個弱點,這可以讓他們從毫無戒備的用戶那里獲取個人信息���。他們已經(jīng)以黑掉一臺安卓手機證明了這一點�。
研究人員測試了這個方法�����,發(fā)現(xiàn)它在所測試的七個中有六個流行應用中具有82%~92%的成功率����。在這些應用中��,Gmail、大通銀行和H&R Block被輕松秒殺����。唯一難以被他們攻擊測試成功的應用程序是亞馬遜,大概有48%的幾率成功��。
《不用實際看就能窺視你的應用程序:UI狀態(tài)的運營和新型安卓攻擊》�,這篇文章由加州河濱分校計算機科學與工程系的Qianzhiyun,密歇根大學副教授Z. Morley Mao�����,以及和Mao的同事����,博士生Qi Alfred Chen, a Ph.D.聯(lián)合撰寫,會在8月22日周五的圣迭戈第23屆USENIX安全座談會進行相關介紹����。
[[119032]]
Qianzhiyun,加州大學河濱分校的助理教授��。
研究者們相信�,他們的方法將其他操作系統(tǒng)上同樣適用,因為他們分享的一個關鍵特征的研究人員在Android系統(tǒng)開發(fā)。然而���,他們還沒有在其他系統(tǒng)上測試過程序�。
研究者開始研究這種方法���,是因為他們認為有這么多的應用程序被很多開發(fā)人員有一定的安全風險���。一旦用戶下載的一些應用到他或她的智能手機都會運行在同一個共享的基礎設施,或操作系統(tǒng)���。
“我們一直以為這些應用程序應該很容易做到互不干擾��,”Qian說����?�!拔覀円呀?jīng)證明這種假設是錯誤的����,一個應用程序實際上可以顯著的影響另一個程序���,對用戶造成不良的影響�����?����!?/p>
這種攻擊會讓用戶下載一個看似正常的其實是惡意的應用程序���,如一個手機背景壁紙�����。一旦應用程序安裝后�,研究人員能夠利用新發(fā)現(xiàn)的一個公共端信道–共享內存統(tǒng)計的過程��,它可以無需任何權限就能訪問(PS:共享內存是一種有效地允許進程共享數(shù)據(jù)的通用操作系統(tǒng)的特征)����。
研究人員通過監(jiān)控共享內存中的變化,可以關聯(lián)改變一個他們所謂的“轉型事件相關的活動”�。這包括諸如用戶登錄到Gmail或H&R Block,亦或是用戶以一張支票打印版可以在線存放�����,而不需要去一家實體的大通銀行。在增加了一些其他方面的渠道后�����,作者表明�,它可以根據(jù)被黑的應用,相當準確地進行實時跟蹤活動����。
其中有兩個攻擊點,第一���,攻擊需要發(fā)生在用戶正好登陸到應用程序的那個時刻到或拍照����。第二����,攻擊需要以低調的方式進行。研究人員可以通過仔細計算攻擊時間做到這點�����。
“在設計時,Android允許應用被占用或劫持”����,“但問題是你需要做到的�,就是把握正確的時間不讓用戶注意到。正是我們這樣做���,我們的攻擊才變得獨一無二�����。
研究人員創(chuàng)建了三個短視頻���,演示了如何進行攻擊。大家可以看這里:http://bit.ly/1byicd3���。
這里是測試名單上的七個應用程序����,研究人員試圖攻擊他們而獲得的成功率如下:
Gmail(92%)�����,H&R Block(92%), Newegg(86%)�,WebMD(85%),Hotels.com (83%)�����,大通銀行(83%)����,和亞馬遜(48%)。
亞馬遜攻擊難度更大��,是由于該應用程序允許一個行為轉變?yōu)閹缀跗渌行袨?,這會增大猜測該行為是否在運行的難度。
當被問及智能手機的用戶可以為此做點什么時���,Qian說��,“就是不要安裝不受信任的應用程序����?����!彼f,操作系統(tǒng)的未來的設計��,需要在進行安全性和功能性之間更仔細的權衡�。例如,側通道需要被消除或者進行更明確地規(guī)范����。
原文地址: http://ucrtoday.ucr.edu/24266
標題名稱:研究人員以92%的成功率劫持Gmail應用
分享地址:
http://uogjgqi.cn/article/ccshscj.html
