将夜猫腻小说,小说排行榜完结版,好看的历史书籍推荐

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

研究人員以92%的成功率劫持Gmail應(yīng)用

加州大學(xué)河濱分校的助理教授，是一個(gè)以開發(fā)新技術(shù)來攻擊安卓應(yīng)用為目的的團(tuán)隊(duì)成員，當(dāng)然這個(gè)團(tuán)隊(duì)研究也會涉及到相關(guān)的事物，如操作系統(tǒng)等等。

成都創(chuàng)新互聯(lián)企業(yè)建站,十年網(wǎng)站建設(shè)經(jīng)驗(yàn)，專注于網(wǎng)站建設(shè)技術(shù)，精于網(wǎng)頁設(shè)計(jì)，有多年建站和網(wǎng)站代運(yùn)營經(jīng)驗(yàn)，設(shè)計(jì)師為客戶打造網(wǎng)絡(luò)企業(yè)風(fēng)格，提供周到的建站售前咨詢和貼心的售后服務(wù)。對于成都網(wǎng)站建設(shè)、做網(wǎng)站中不同領(lǐng)域進(jìn)行深入了解和探索，創(chuàng)新互聯(lián)在網(wǎng)站建設(shè)中充分了解客戶行業(yè)的需求，以靈動的思維在網(wǎng)頁中充分展現(xiàn)，通過對客戶行業(yè)精準(zhǔn)市場調(diào)研，為客戶提供的解決方案。

[[119031]]

有一只團(tuán)隊(duì)已經(jīng)開發(fā)了一種新方法，他們由此能夠以高達(dá)92%的成功率黑入應(yīng)用程序。

加州大學(xué)河濱分校的一個(gè)研究團(tuán)隊(duì)，其中包括加州大學(xué)濱江伯恩斯工程學(xué)院的一名助理教授。已經(jīng)確認(rèn)他們發(fā)現(xiàn)了安卓、Windows，iOS移動操作系統(tǒng)中的一個(gè)弱點(diǎn)，這可以讓他們從毫無戒備的用戶那里獲取個(gè)人信息。他們已經(jīng)以黑掉一臺安卓手機(jī)證明了這一點(diǎn)。

研究人員測試了這個(gè)方法，發(fā)現(xiàn)它在所測試的七個(gè)中有六個(gè)流行應(yīng)用中具有82%~92%的成功率。在這些應(yīng)用中，Gmail、大通銀行和H&R Block被輕松秒殺。唯一難以被他們攻擊測試成功的應(yīng)用程序是亞馬遜，大概有48%的幾率成功。

《不用實(shí)際看就能窺視你的應(yīng)用程序：UI狀態(tài)的運(yùn)營和新型安卓攻擊》，這篇文章由加州河濱分校計(jì)算機(jī)科學(xué)與工程系的Qianzhiyun，密歇根大學(xué)副教授Z. Morley Mao，以及和Mao的同事，博士生Qi Alfred Chen, a Ph.D.聯(lián)合撰寫，會在8月22日周五的圣迭戈第23屆USENIX安全座談會進(jìn)行相關(guān)介紹。

[[119032]]

Qianzhiyun，加州大學(xué)河濱分校的助理教授。

研究者們相信，他們的方法將其他操作系統(tǒng)上同樣適用，因?yàn)樗麄兎窒淼囊粋€(gè)關(guān)鍵特征的研究人員在Android系統(tǒng)開發(fā)。然而，他們還沒有在其他系統(tǒng)上測試過程序。

研究者開始研究這種方法，是因?yàn)樗麄冋J(rèn)為有這么多的應(yīng)用程序被很多開發(fā)人員有一定的安全風(fēng)險(xiǎn)。一旦用戶下載的一些應(yīng)用到他或她的智能手機(jī)都會運(yùn)行在同一個(gè)共享的基礎(chǔ)設(shè)施，或操作系統(tǒng)。

“我們一直以為這些應(yīng)用程序應(yīng)該很容易做到互不干擾，”Qian說?！拔覀円呀?jīng)證明這種假設(shè)是錯(cuò)誤的，一個(gè)應(yīng)用程序?qū)嶋H上可以顯著的影響另一個(gè)程序，對用戶造成不良的影響?！?/p>

這種攻擊會讓用戶下載一個(gè)看似正常的其實(shí)是惡意的應(yīng)用程序，如一個(gè)手機(jī)背景壁紙。一旦應(yīng)用程序安裝后，研究人員能夠利用新發(fā)現(xiàn)的一個(gè)公共端信道–共享內(nèi)存統(tǒng)計(jì)的過程，它可以無需任何權(quán)限就能訪問(PS:共享內(nèi)存是一種有效地允許進(jìn)程共享數(shù)據(jù)的通用操作系統(tǒng)的特征)。

研究人員通過監(jiān)控共享內(nèi)存中的變化，可以關(guān)聯(lián)改變一個(gè)他們所謂的“轉(zhuǎn)型事件相關(guān)的活動”。這包括諸如用戶登錄到Gmail或H&R Block，亦或是用戶以一張支票打印版可以在線存放，而不需要去一家實(shí)體的大通銀行。在增加了一些其他方面的渠道后，作者表明，它可以根據(jù)被黑的應(yīng)用，相當(dāng)準(zhǔn)確地進(jìn)行實(shí)時(shí)跟蹤活動。

其中有兩個(gè)攻擊點(diǎn)，第一，攻擊需要發(fā)生在用戶正好登陸到應(yīng)用程序的那個(gè)時(shí)刻到或拍照。第二，攻擊需要以低調(diào)的方式進(jìn)行。研究人員可以通過仔細(xì)計(jì)算攻擊時(shí)間做到這點(diǎn)。

“在設(shè)計(jì)時(shí)，Android允許應(yīng)用被占用或劫持”，“但問題是你需要做到的，就是把握正確的時(shí)間不讓用戶注意到。正是我們這樣做，我們的攻擊才變得獨(dú)一無二。

研究人員創(chuàng)建了三個(gè)短視頻，演示了如何進(jìn)行攻擊。大家可以看這里：http://bit.ly/1byicd3。

這里是測試名單上的七個(gè)應(yīng)用程序，研究人員試圖攻擊他們而獲得的成功率如下：

Gmail(92%)，H&R Block(92%)， Newegg(86%)，WebMD(85%)，Hotels.com (83%)，大通銀行(83%)，和亞馬遜(48%)。

亞馬遜攻擊難度更大，是由于該應(yīng)用程序允許一個(gè)行為轉(zhuǎn)變?yōu)閹缀跗渌行袨椋@會增大猜測該行為是否在運(yùn)行的難度。

當(dāng)被問及智能手機(jī)的用戶可以為此做點(diǎn)什么時(shí)，Qian說，“就是不要安裝不受信任的應(yīng)用程序?！彼f，操作系統(tǒng)的未來的設(shè)計(jì)，需要在進(jìn)行安全性和功能性之間更仔細(xì)的權(quán)衡。例如，側(cè)通道需要被消除或者進(jìn)行更明確地規(guī)范。

原文地址： http://ucrtoday.ucr.edu/24266

網(wǎng)頁題目：研究人員以92%的成功率劫持Gmail應(yīng)用
網(wǎng)頁網(wǎng)址：http://fisionsoft.com.cn/article/ccshscj.html

新聞中心

其他資訊