安全研究人士日前宣布在 Android 版本的 Gmail 应用中找到了安全漏洞,能够保证 92% 的入侵应用的成功率。
据了解,整个入侵的过程非常简单:用户下载一个看起来人畜无害的应用,比如一个壁纸应用。应用运行的时候会通过共享内存(shared memory)的功能来观察用户同时在设备上做的其他事,打开了什么应用。
而这个壁纸应用其实已经被黑客故意加入了恶意的内容,能够在用户打开 Gmail 应用输入用户名密码的同时伪造出一个假的登陆界面以骗取用户名和密码。在本次安全人士的分析中,包括 Gmail、Newegg、亚马逊、CHASE Bank 等在内的应用都被发现了这个漏洞。他们将在圣迭戈的 USENIX 安全大会上发布这个发现。