安卓/iOS/WP共有漏洞被研究人員發(fā)現(xiàn) 破解率極高

近日一組研究人員發(fā)現(xiàn)了一個(gè)可在Android、iOS和WP三大平臺(tái)上通用的應(yīng)用破解方法，通過對(duì)用戶智能手機(jī)的應(yīng)用實(shí)現(xiàn)破解，從而竊取用戶數(shù)據(jù)，并且破解的成功率都相當(dāng)?shù)母摺?/p>

在圣地亞哥USENIX安全研討會(huì)上，該研究小組在Android設(shè)備上對(duì)它們的新破解方法進(jìn)行了演示，通過對(duì)七款移動(dòng)應(yīng)用程序的破解，發(fā)現(xiàn)有六款的成功率都在83%及以上。

其中Gmail的破解成功率為92%，H&R Block 92%，新蛋 86% 成功率，WebMD 85%，大通銀行 83%，Hotels.com 83%。七款應(yīng)用中最難破解的是亞馬遜應(yīng)用，成功率只有48%。

這次盡管只在Android平臺(tái)上進(jìn)行了演示，但研究人員稱這種方法也適用于iOS和WP平臺(tái)。

該小組的一位成員，來自加州大學(xué)河濱分校計(jì)算機(jī)與工程專業(yè)的助理教授稱，他們之所以會(huì)研究這樣一個(gè)方法是因?yàn)樗麄兿嘈藕芏鄳?yīng)用在被創(chuàng)建的時(shí)候都存在一個(gè)安全風(fēng)險(xiǎn)，用戶在智能手機(jī)上下載的大量應(yīng)用程序都是運(yùn)行在相同的共享基礎(chǔ)設(shè)施或操作系統(tǒng)之上的。

研究人員進(jìn)一步解釋說，這一過程能夠使得他們通過應(yīng)用程序竊取用戶數(shù)據(jù)，不過必須滿足一些條件，比如用戶需要安裝相關(guān)應(yīng)用。當(dāng)應(yīng)用安裝后，研究者能夠進(jìn)入一條公共信道，沒有任何權(quán)限限制地訪問共享內(nèi)存對(duì)進(jìn)程進(jìn)行控制。