你从第三方网站下载了一个墙纸应用,它不需要任何权限,所以你推测它不会是恶意应用。
但加州大学河滨分校的研究人员发表的一篇研究报告(PDF)指出,不需要任何权限的应用程序也能窃取你的敏感信息。
这种攻击方法被称为UI状态推断攻击,他们针对的平台是Android,但认为其它操作系统存在类似的弱点。
程序打开一个窗口需要占用内存,恶意程序通过监视已用内存和未用内存的变化,可以推断你打开了哪个程序的什么窗口,比如恶意程序作者观察到打开一个贝宝登录窗口需要占用多少多少内存,安装在你手机上的恶意程序监视到已占用内存增加了相同大小的空间,它能推断你正在打开的是贝宝登录窗口,它可以弹出一个假的贝宝登录窗口,诱骗你输入登录信息。
通过统计分析进程的共享内存变化,研究人员能以92%的成功率劫持Gmail应用。