安卓又出新漏洞：用戶界面設(shè)計(jì)都能黑？

　　安卓作為全球用戶最多的智能手機(jī)操作系統(tǒng)，吸引黑客興趣是再正常不過(guò)的事了。雖然谷歌每個(gè)月都發(fā)布軟件更新包，不斷的修復(fù)Android系統(tǒng)中的已知缺陷和漏洞，以此來(lái)不斷的提高Android智能手機(jī)的安全性。不過(guò)漏洞不一定要找代碼中的錯(cuò)誤，Android在用戶界面部分深思熟慮的特性，也能成為黑客的突破口。

　　一個(gè)小型安全團(tuán)隊(duì)最近披露了Android用戶界面中的“設(shè)計(jì)問(wèn)題”，據(jù)他們稱(chēng)，網(wǎng)絡(luò)犯罪分子可以利用這些“設(shè)計(jì)問(wèn)題”，神不知鬼不覺(jué)地從運(yùn)行Android 7.1.2或早期版本Android的智能手機(jī)中竊取密碼和個(gè)人數(shù)據(jù)。

　　phoneArena表示，安全專(zhuān)家描述了一種被稱(chēng)作“Cloak & Dagger”的新技術(shù)，黑客可以利用“Cloak & Dagger”，使惡意應(yīng)用通過(guò)隱蔽但不設(shè)防的“一扇門(mén)”潛入智能手機(jī)。黑客利用“Cloak & Dagger”興風(fēng)作浪只需要兩個(gè)權(quán)限：第一種權(quán)限對(duì)所謂的“draw on top”（用于在其他應(yīng)用元素之上繪制窗口或應(yīng)用元素）特性提供支持；第二種權(quán)限是“a11y”，被用來(lái)向殘疾用戶提供幫助的界面特性。但一旦被授予后，這兩種權(quán)限使黑客能完成各種惡意攻擊，例如記錄用戶輸入的每個(gè)詞匯——其中包括密碼，安裝具有能完全控制移動(dòng)設(shè)備所需權(quán)限的惡意應(yīng)用。

　　黑客能秘密發(fā)動(dòng)攻擊的原因是，這兩種權(quán)限的處理方式不同于傳統(tǒng)權(quán)限，例如定位或WiFi使用。系統(tǒng)不會(huì)詢問(wèn)用戶是否授予應(yīng)用權(quán)限，“draw on top”權(quán)限會(huì)自動(dòng)授予要求它的應(yīng)用，例如Facebook Messenger。這種方式還使得應(yīng)用能在用戶不知情的情況下獲得“a11y”權(quán)限。

　　phoneArena稱(chēng)，但事情并非像表面上看起來(lái)那樣恐怖。首先，Android用戶界面缺陷是由安全專(zhuān)家而非黑客披露的，目前尚沒(méi)有利用“Cloak & Dagger”的已知攻擊或病毒出現(xiàn)。此外，所有相關(guān)信息已經(jīng)提交給谷歌，因此它可能將在即將發(fā)布的軟件更新包中解決這一問(wèn)題。事實(shí)上，谷歌已經(jīng)在為其Android O平臺(tái)開(kāi)發(fā)補(bǔ)丁軟件，限止應(yīng)用在系統(tǒng)用戶界面上繪制其他元素。

　　如果在安裝應(yīng)用時(shí)謹(jǐn)慎一些，用戶也無(wú)需過(guò)于擔(dān)心“Cloak & Dagger”攻擊，例如下載Google Play上受信任開(kāi)發(fā)者發(fā)布的應(yīng)用，在安裝前閱讀用戶評(píng)論。

　　如果用戶想更進(jìn)一步，解決自動(dòng)授予權(quán)限的問(wèn)題很容易。在Android 7.1.2中，用戶可以依次打開(kāi)“設(shè)置》應(yīng)用》設(shè)置》特殊權(quán)限》在其他應(yīng)用上繪制”，關(guān)閉“draw on top”權(quán)限；用戶可以在“設(shè)置》無(wú)障礙》服務(wù)”中查看哪些應(yīng)用要求“a11y”權(quán)限。