一群來自加州大學河濱分校(UC Riverside)伯恩斯工程學院的研究人員在今日(8/22)指出,他們發現智慧型手機平台上的漏洞,使駭客能夠取得智慧型手機中的個人資訊,根據他們在Android手機上所進行的實驗,成功攻陷Gmail的機率高達92%,並相信該攻擊同樣也適用於iOS與Windows Phone平台。
研究人員說明,圖像使用者介面(GUI)框架可能透過共享的記憶體而洩露每個使用者介面狀態的變更,這使得他們得以打造一個在背景執行的程式進行攻擊,並將其稱之為使用者介面狀態推論攻擊(UI state inference attack),並可因此取得使用者的登入金鑰或支票照片。
UC Riverside電腦科學暨工程系助理教授Zhiyun Qian表示,過去的假設一直是手機上的行動程式無法輕易地彼此干擾,然而,他們證明了這個假設並不正確,某個程式的確能影響另一個程式且可能導致嚴重的後果。
他們先設計出一個偽裝成無害的惡意程式,例如桌布程式,當手機用戶安裝該程式時,他們就能存取手機上的共享記憶體,並藉由偵測共享記憶體的變更並找出關聯性來辨識使用者的行為,例如使用者登入Gmail或H&R Block,或是拍攝了支票的照片等,並精確地判斷這些程式的作業程序。
此類攻擊有兩個關鍵,一是必須準確地抓住使用者登入某個程式或拍照的時機,二是必須不著痕跡地進行以避免被使用者察覺,因此,把握攻擊的時機非常重要。
該研究團隊測試了Android平台上的6款程式,發現攻陷Gmail的成功機率高達92%,其他含有重要個人機密資訊的程式被成功攻陷的比例依序是稅務程式H&R Block(92%)、購物程式Newegg(86%)、健康資訊程式WebMD(85%)、網銀程式CHASE Bank(83%)、飯店訂購程式Hotels.com(83%),但攻擊Amazon程式時,成功的比例只有48%,這是因為該程式允許一個活動轉移至其他任何活動,因此較難準確猜測正在進行中的活動,提高了攻擊難度。
雖然他們只在Android平台上測試,但由於包括iOS與Windows Phone在內的行動作業系統都具備同樣的功能,因此研究人員相信這類的攻擊也能在其他平台上執行。(編譯/陳曉莉)