點擊陷阱：檢測到的Android安全漏洞

我們在手機的屏幕上看到的並不總是我們實際上在工作的事實。這是由菲利普·比爾（Philip Beer），塞巴斯蒂安·羅塔（Sebastian Rota），馬可·海辣的塞巴斯蒂安·羅塔（Sebastian Rota）和瑪蒂娜·林多弗（Martina Lindorfer）組成的Tu Wyen（奧地利維也納）的研究小組。

在Android手機上，不可見的應用程序可以在前景中活躍，這是一個潛在的安全問題。然後，用戶管理他們看不見的應用程序，可以在實施不必要的操作中被欺騙，例如為惡意應用程序提供某些權利甚至刪除數據。

研究小組已經與Android安全小組相關聯。最近發現的安全漏洞將在領先的世界安全會議上介紹 usenix8月13日至15日在西雅圖（美國）度過。

無害的遊戲帶有不愉快的後果

幾種應用程序可以同時在智能手機上處於活動狀態。通常，其中一個在前景中可見，並且用戶在屏幕上按下時與他互動。 “儘管如此，應用程序還可以啟動其他應用程序並使用動畫，例如緩慢的衰減或滑動，”安全小組的啤酒解釋說，啤酒和機密性到Tu Wyen（邏輯與計算研究所）。 “這正是您可以使用的。”

欺詐性應用程序可以啟動另一個應用程序而無需注意，但可以透明地顯示它。現在它位於前景，可以用手指起重機控制，但仍然看不見。

皮埃爾說：“我們通過創建一個簡單的遊戲來嘗試通過在屏幕上按下小錯誤來收集眼鏡。” “但是遊戲然後打開了另一個應用程序，例如瀏覽器。現在，無論我們希望按下屏幕上的確切位置，我們都可以將自己的錯誤放在遊戲中。您覺得您仍在使用錯誤玩遊戲，但實際上您現在正在使用最近運行的應用程序，甚至無法看到。”

研究小組有二十個測試項目，試用了錯誤的遊戲，他們確實能夠以這種方式獲得各種權限，例如，作為訪問智能手機室的訪問。 “從理論上講，您也可以使用此方法啟動銀行應用程序，也可以在手機上刪除所有數據，” Pierre說。

還沒有罪犯

因此，Tu Wien的團隊證明了攻擊正在起作用。但是真的用了嗎？皮埃爾說：“我們從Play Store商店檢查了大約100,000個應用程序，但沒有發現使用此漏洞。” “因此，我們希望脆弱性尚未造成任何真正的損害，但當然應該糾正問題。”

該團隊已經聯繫了Android開發人員團隊。從技術上講，您可以關閉漏洞。 Firefox和Google Chrome製造商也聯繫了 – 他們已經關閉了兩者的瀏覽器漏洞。 Android操作系統的石墨烯，專門用於最大化安全性，也解決了該問題。

皮埃爾說：“通常，您絕不應該安裝似乎不是來自可靠來源的應用程序。” “當訪問攝像機或麥克風時，這通常表示狀態線中的圖標，因此您應該注意這一點。”

如果您想站在安全的一邊，通常可以關閉應用程序動畫（在“可訪問性”，“顏色和運動”部分中的設置中）。