所有Android手机都容易受到极其危险的全设备接管攻击

 

研究人员发现了一种名为“隐形匕首”(Cloak and Dagger)的新攻击方法，它可以攻击所有版本的安卓系统，一直到7.1.2版本。

隐形和匕首攻击允许黑客悄悄地完全控制您的设备并窃取私人数据，包括击键、聊天、设备PIN、在线帐户密码、OTP密码和联系人。

该攻击没有利用Android生态系统中的任何漏洞；相反，它滥用了一对在流行应用程序中广泛使用的合法应用程序权限来访问Android设备上的某些功能。

乔治亚理工学院（Georgia Institute of Technology）的研究人员发现了这种攻击，他们成功地对20人实施了攻击，但没有一人能够检测到任何恶意活动。

隐形和匕首攻击使用两种基本的Android权限：

• 系统警报窗口（“在顶部绘制”）
• 绑定可访问性服务（“a11y”）

第一个权限被称为“在顶部绘制”，是一个合法的覆盖功能，允许应用程序在设备屏幕和其他应用程序的顶部重叠。

第二个许可名为“a11y”，旨在帮助残疾、失明和视力受损的用户，允许他们使用语音命令输入信息，或使用屏幕阅读器功能收听内容。

黑客可以对你的安卓系统做的可怕事情（演示）

由于攻击不需要任何恶意代码来执行特洛伊木马化的任务，因此黑客更容易在未经检测的情况下开发并向Google Play Store提交恶意应用。

不幸的是，众所周知，谷歌使用的安全机制不足以将所有恶意软件挡在其应用程序市场之外。

如果你正在关注黑客新闻的定期安全更新，你必须更好地了解经常出现的标题，如“数百个应用程序感染了针对play store用户的广告软件”和“play store上发现的勒索软件应用程序”。

就在上个月，研究人员在Play Store上发现了几个伪装成无辜的“搞笑视频”应用的Android应用，下载量超过5000次，但发布了窃取受害者银行密码的“BankBot banking特洛伊木马”。

以下是研究人员解释了他们是如何在谷歌Play商店上执行“斗篷与娱乐”的；匕首攻击：

“特别是，我们提交了一个应用程序，它需要这两个权限，并且包含一个非模糊功能，可以下载和执行任意代码（试图模拟明显的恶意行为）：这个应用程序在几个小时后就获得了批准（在谷歌Play商店上仍然可用）。”研究人员说。

研究人员表示，一旦安装，攻击者可以执行各种恶意活动，包括：

• 高级点击劫持攻击
• 无约束按键记录
• 秘密网络钓鱼攻击
• 静默安装上帝模式应用程序（启用所有权限）
• 静音手机解锁和任意操作（同时关闭屏幕）

简而言之，攻击者可以秘密接管你的Android设备，监视你在手机上的每一项活动。

研究人员还提供了一系列斗篷和匕首攻击的视频演示，相信我，这会让你大吃一惊。

谷歌无法修复它，至少不会这么快

大学研究人员已经向谷歌公开了这种新的攻击向量，但他指出，由于这个问题存在于Android操作系统的设计中，涉及到两个标准的行为，问题可能难以解决。

该论文的第一作者亚尼克·弗拉安东尼奥说：“改变一个功能并不像修复一个bug”。“系统设计师现在必须更多地考虑看似不相关的功能是如何相互作用的。功能不会在设备上单独运行”。

正如我们之前所报道的，谷歌赋予了“SYSTEM_ALERT_WINDOW”(“draw on top”)权限，自2015年10月Android棉花糖(版本6)发布以来，从官方谷歌Play Store直接安装的所有应用程序。

这一让恶意应用程序劫持设备屏幕的功能是网络犯罪分子和黑客利用最广泛的方法之一，用来诱骗不知情的安卓用户成为恶意软件和网络钓鱼诈骗的受害者。

然而，谷歌计划改变其在《安卓O》中的政策，该软件定于今年第三季度发布。

因此，用户需要等待很长很长的时间，因为数以百万计的用户仍在等待设备制造商（OEM）的Android Nougat（N）。

换句话说，至少在未来一年内，大多数智能手机用户将继续受到勒索软件、广告软件和银行特洛伊木马的侵害。

临时缓解措施

在Android 7.1.2中，禁用隐形和匕首攻击的最简单方法是关闭“在顶部绘制”权限，方法是转到：

设置→应用程序→齿轮符号→特殊通道→利用其他应用程序。

避免被黑客攻击的最普遍、最简单的方法总是从Google Play Store下载应用程序，但只能从可信且经过验证的开发者那里下载。

建议您在安装应用程序之前检查应用程序权限。如果任何应用程序的要求超出了它的用途，就不要安装它。