研究人員以92%的成功率劫持Gmail應(yīng)用
責(zé)編:admin |2014-08-25 12:07:15你從第三方網(wǎng)站下載了一個墻紙應(yīng)用,它不需要任何權(quán)限,所以你推測它不會是惡意應(yīng)用。
但加州大學(xué)河濱分校的研究人員發(fā)表的一篇研究報告(PDF)指出,不需要任何權(quán)限的應(yīng)用程序也能竊取你的敏感信息。
這種攻擊方法被稱為UI狀態(tài)推斷攻擊,他們針對的平臺是Android,但認(rèn)為其它操作系統(tǒng)存在類似的弱點(diǎn)。
程序打開一個窗口需要占用內(nèi)存,惡意程序通過監(jiān)視已用內(nèi)存和未用內(nèi)存的變化,可以推斷你打開了哪個程序的什么窗口,比如惡意程序作者觀察到打開一個貝寶登錄窗口需要占用多少多少內(nèi)存,安裝在你手機(jī)上的惡意程序監(jiān)視到已占用內(nèi)存增加了相同大小的空間,它能推斷你正在打開的是貝寶登錄窗口,它可以彈出一個假的貝寶登錄窗口,誘騙你輸入登錄信息。
通過統(tǒng)計分析進(jìn)程的共享內(nèi)存變化,研究人員能以92%的成功率劫持Gmail應(yīng)用。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧