入侵 Gmail 有多难？成功率 92%

关于手机安全性的讨论并非一天两天了，而近日的一项研究表明，三大主流操作系统存在漏洞，黑客入侵应用的成功率远远高于我们的想象。

上周五，在美国高等计算机系统协会（Usenix）的安全大会上，一份报告称，Android 操作系统上存在一个漏洞，黑客可以通过这个漏洞入侵应用，其中入侵 Gmail 的成功率高达 92%。

这并不是 Gmail 应用的问题，而是三大操作系统的普遍问题。尽管这个研究仅仅针对 Android，研究人员表示 iOS 和 Windows Phone 都存在类似的漏洞。

用户下载一个包含恶意代码的应用程序，比如壁纸应用。安装完成后，黑客可以利用该应用来访问共享内存任意信息，而不再需要任何其他特权。之后，黑客通过监控共享内存变化，关联修改其他操作。这种特性会让系统进程有效地分享数据，因为手机所下载的所有应用都是跟同一个操作系统进行交互。

加州大学河滨分校助理教授 Zhiyun Qian 在报告中说，“一直以来，我们认为手机上的这些应用无法轻易相互干扰。但我们发现，这一假设是不正确的，事实上，一个应用程序能够显著影响另一个应用程序，从而为用户带来危害性后果。”

除了 Gmail，研究者还测试了其他应用。从 Chase（大通银行）应用窃取支票图片的成功率是 83%，从布洛克税务公司（H&R Block）盗取地址、社会保险号等个人信息成功率达 92%，入侵 Newegg、WebMD、Hotels.com、亚马逊等应用的成功率也分别达到 86%、95%、83% 和 48%。

这一结果令人不寒而栗，不过，也有专家说不必草木皆兵。Android Centra 总编辑 Phil Nickinson 在 Twitter 上表示，“理论上，这个研究很有趣，但真要实施入侵的话，黑客们要做的事情还很多。”ABI Research 分析师 Menting 认为，实施这种入侵的技术门槛很高，因而它可能无法大范围的使用。

Zhiyun Qian 给出的建议是，不要安装任何不可信的应用。Identity Theft 911 和 Credit.com 的创始人 Adam Levin 也说：“用户应当保持警惕，热门应用往往是黑客的重点攻击目标。”

原文链接：http://bluereader.org/article/504151

核总点评：

参考国内各种内存外挂，八门神器、烧饼修改器等……

各种吐槽：

1#

走火入魔 (要致富!先脱裤！) | 2014-08-25 12:15

@网警

2#

mramydnei | 2014-08-25 12:20

我就看到android了。安卓和IE在我心目中属于同样的地位

3#

小乐天 | 2014-08-25 12:22

翻译的很好

4#

动后河 (类的继承) | 2014-08-25 12:32

看标题还以为是盗gmail

------------------------------------

United States

Scottsdale, Arizona

IP: 184.168.221.79

Domain: wooyun.org

5#

银冥币 (http://隐泉屋.cc/?) | 2014-08-25 14:42

@动后河 what this ,小尾巴?

6#

xsser (十根阳具有长短!!) | 2014-08-25 15:14

能读取详细内存内容?

7#

blue (bluereader.org) | 2014-08-25 15:25

@xsser 应该是可以，还是得这方面的牛人们研究下 @瘦蛟舞

8#

dream | 2014-08-25 16:00

关键是怎么让用户下载一个包含恶意代码的应用程序，尤其是针对指定用户的，还是挺难的吧@blue

9#

动后河 (类的继承) | 2014-08-25 17:32

@银冥币 这是乌云zone主机信息

10#

银冥币 (http://隐泉屋.cc/?) | 2014-08-25 18:16

@动后河 ...最讨厌英文了QuQ

11#

blue (bluereader.org) | 2014-08-25 19:15

@dream 这是漏洞利用的基础嘛，像反射xss一样，总是要用户参与的；现在android 4.0以上确实不好自动安装了

12#

applychen | 2014-08-25 20:00

在手机上设置代理更加直接……

13#

雷锋 (看人生万般无奈，看世间千姿百态) | 2014-08-25 21:14

去网吧把手机数据线连接插在主机10分钟。啥也没干，拔掉数据线。手机里面增加N个应用。。。

14#

炯炯虾 | 2014-08-25 21:32

还90% 我就不装 你能把我咋滴

15#

blue (bluereader.org) | 2014-08-26 10:43

@雷锋 都是那些手机助手搞的事儿

16#

核攻击 (统治全球，奴役全人类！毁灭任何胆敢阻拦的有机生物！) | 2014-08-26 11:37

参考国内各种内存外挂，八门神器、烧饼修改器等……

17#

blue (bluereader.org) | 2014-08-26 12:23

@核攻击 楼上一语中的，非root机是否也有可修改内存的例子？

留言评论（旧系统）：

文章来源于lcx.cc:入侵 Gmail 有多难？成功率 92%