Android所有版本均存在某个可监听输入记录的漏洞
近期有研究人员发现了某个影响所有Android版本的安全漏洞,该漏洞允许攻击者创建恶意应用监视使用者。
该漏洞最大的危害在于攻击者可以创建应用记录用户输入记录,类似于出现在 Windows 平台的键盘记录器。
我们知道通常我们在支付类应用和银行类应用或网页填写银行卡密码或者安全码时这些键入都是以星号代替。
以星号代替除了可以避免密码被周围的人看到外也可以避免恶意软件或应用通过截图方式将账号和密码保存。
Android 的这个漏洞则是可以读取用户所有的键入记录,那么恶意应用只需要监测支付应用并记录键入即可。
例如恶意应用可以监测浏览器是否打开某些知名的支付网站, 如果监测到那么即可开始记录用户的键入记录。
稍微幸运点的是让用户开启对应的权限应该不算是太简单的事情, 但攻击者依然可以通过某些方式诱导用户。
通过各种诱导和暗示实际上也倒是可以让不少用户启用辅助权限, 因此相对来说这个漏洞的危害还是很大的。
另外研究人员称也可以通过其他方式不经过用户确认来开启权限, 最终在用户完全不知情的情况下完成攻击。
谷歌目前已经发布了声明称该公司正在努力工作防止这种攻击,但该漏洞实际影响到了所有的Android版本。
因此即使谷歌在下月的安全更新中修复漏洞大部分用户也无法获得更新, 毕竟这需要依靠用户设备的制造商。
谷歌已经更新 Google Play 安全防护去主动监测和阻止安装这类恶意应用,但国内的用户却无法使用该防护。
建议国内 Android 用户最好安装安全类应用程序,虽然说广告多但后续应该也会支持对这类恶意应用的检测。