压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　加州大學河濱分校的助理教授，是一個以開發(fā)新技術(shù)來攻擊安卓應(yīng)用為目的的團隊成員，當然這個團隊研究也會涉及到相關(guān)的事物，如操作系統(tǒng)等等。

　　有一只團隊已經(jīng)開發(fā)了一種新方法，他們由此能夠以高達92%的成功率黑入應(yīng)用程序。

　　加州大學河濱分校的一個研究團隊，其中包括加州大學濱江伯恩斯工程學院的一名助理教授。已經(jīng)確認他們發(fā)現(xiàn)了安卓、Windows，iOS移動操作系統(tǒng)中的一個弱點，這可以讓他們從毫無戒備的用戶那里獲取個人信息。他們已經(jīng)以黑掉一臺安卓手機證明了這一點。

　　研究人員測試了這個方法，發(fā)現(xiàn)它在所測試的七個中有六個流行應(yīng)用中具有82%~92%的成功率。在這些應(yīng)用中，Gmail、大通銀行和H&R Block被輕松秒殺。唯一難以被他們攻擊測試成功的應(yīng)用程序是亞馬遜，大概有48%的幾率成功。

　　《不用實際看就能窺視你的應(yīng)用程序：UI狀態(tài)的運營和新型安卓攻擊》，這篇文章由加州河濱分校計算機科學與工程系的Qianzhiyun，密歇根大學副教授Z. Morley Mao，以及和Mao的同事，博士生Qi Alfred Chen， a Ph.D.聯(lián)合撰寫，會在8月22日周五的圣迭戈第23屆USENIX安全座談會進行相關(guān)介紹。

　　研究者們相信，他們的方法將其他操作系統(tǒng)上同樣適用，因為他們分享的一個關(guān)鍵特征的研究人員在Android系統(tǒng)開發(fā)。然而，他們還沒有在其他系統(tǒng)上測試過程序。

　　研究者開始研究這種方法，是因為他們認為有這么多的應(yīng)用程序被很多開發(fā)人員有一定的安全風險。一旦用戶下載的一些應(yīng)用到他或她的智能手機都會運行在同一個共享的基礎(chǔ)設(shè)施，或操作系統(tǒng)。

　　“我們一直以為這些應(yīng)用程序應(yīng)該很容易做到互不干擾，”Qian說。“我們已經(jīng)證明這種假設(shè)是錯誤的，一個應(yīng)用程序?qū)嶋H上可以顯著的影響另一個程序，對用戶造成不良的影響。”

　　這種攻擊會讓用戶下載一個看似正常的其實是惡意的應(yīng)用程序，如一個手機背景壁紙。一旦應(yīng)用程序安裝后，研究人員能夠利用新發(fā)現(xiàn)的一個公共端信道–共享內(nèi)存統(tǒng)計的過程，它可以無需任何權(quán)限就能訪問（PS：共享內(nèi)存是一種有效地允許進程共享數(shù)據(jù)的通用操作系統(tǒng)的特征）。

　　研究人員通過監(jiān)控共享內(nèi)存中的變化，可以關(guān)聯(lián)改變一個他們所謂的“轉(zhuǎn)型事件相關(guān)的活動”。這包括諸如用戶登錄到Gmail或H&R Block，亦或是用戶以一張支票打印版可以在線存放，而不需要去一家實體的大通銀行。在增加了一些其他方面的渠道后，作者表明，它可以根據(jù)被黑的應(yīng)用，相當準確地進行實時跟蹤活動。

　　其中有兩個攻擊點，第一，攻擊需要發(fā)生在用戶正好登陸到應(yīng)用程序的那個時刻到或拍照。第二，攻擊需要以低調(diào)的方式進行。研究人員可以通過仔細計算攻擊時間做到這點。

　　“在設(shè)計時，Android允許應(yīng)用被占用或劫持”，“但問題是你需要做到的，就是把握正確的時間不讓用戶注意到。正是我們這樣做，我們的攻擊才變得獨一無二。

　　研究人員創(chuàng)建了三個短視頻，演示了如何進行攻擊。大家可以看這里：http：//bit.ly/1byicd3。

　　這里是測試名單上的七個應(yīng)用程序，研究人員試圖攻擊他們而獲得的成功率如下：

　　Gmail（92%），H&R Block（92%）， Newegg（86%），WebMD（85%），Hotels.com (83%)，大通銀行（83%），和亞馬遜（48%）。

　　亞馬遜攻擊難度更大，是由于該應(yīng)用程序允許一個行為轉(zhuǎn)變?yōu)閹缀跗渌行袨椋@會增大猜測該行為是否在運行的難度。

　　當被問及智能手機的用戶可以為此做點什么時，Qian說，“就是不要安裝不受信任的應(yīng)用程序。”他說，操作系統(tǒng)的未來的設(shè)計，需要在進行安全性和功能性之間更仔細的權(quán)衡。例如，側(cè)通道需要被消除或者進行更明確地規(guī)范。