安全研究人员于近期发现一种新型攻击手段 Cloak and Dagger(“斗篷与匕首”),允许黑客完全控制任意版本的Android设备(包括最新版本7.1.2)、窃取私人敏感数据,其中包括击键与聊天记录、设备PIN码、在线帐户密码、OTP动态口令与通讯录联系人信息等。
有趣的是,此攻击手段并非利用Android生态系统中的任何漏洞,而是滥用流行应用商城中广泛使用的合法权限访问Android设备上的某些功能。Cloak and Dagger主要利用Android系统的两项基本权限:
SYSTEM_ALERT_WINDOW(“draw on top”):合法覆盖功能,允许应用程序在Android设备屏幕上覆盖其他应用程序。
BIND_ACCESSIBILITY_SERVICE(“a11y”):帮助残障人士与视力受损的用户通过语音命令输入信息或使用屏幕阅读功能收听事件内容。
由于Cloak and Dagger无需利用任何恶意代码执行木马程序,因此黑客极易开发并提交恶意应用程序且不易被谷歌商店发现。据悉,黑客可在安装恶意应用程序后执行各种操作,主要包括高级劫持攻击、无限制访问击键记录、隐身网络钓鱼攻击、静默安装获得所有操作权限的God-mode应用、在保持屏幕关闭的状态下解锁手机进行任意操作等。
简而言之,黑客可以暗中接管用户Android设备并监视设备上的一举一动。目前,虽然研究人员已向Google披露该攻击手段,但由于此类问题源自Android操作系统设计缺陷且涉及两个标准功能的正常运行,因此该问题恐怕一时无法解决。安全专家建议用户始终从Google Play商店下载应用程序并在安装应用程序之前仔细检查权限设置。