Android 有缺陷：可竊取用戶數據，接收廣告！

研究人員發現谷歌 Android 移動操作系統軟體有一個設計漏洞。犯罪分子利用這個漏洞能夠通過釣魚攻擊竊取用戶數據，廣告商利用這個漏洞能夠向手機發送討厭的彈出式廣告。
Trustwave 高級高級副總裁兼 SpiderLabs 實驗室負責人 Nicholas Percoco 在 DefCon 黑客會議上發表這項研究成果之前稱，開發人員能夠創建表面上無害的應用程序。當用戶正在使用合法的銀行應用程序的時候，這個應用程序顯示一個假冒的銀行應用程序登錄頁。 

目前，要與用戶進行溝通的應用程序在發現不同的應用程序的時候會在顯式螢幕上面的工具條中發出警告。但是，Android 軟體開發工具中的應用程序編程接口能夠用來把一個應用程序推向前台。

Trustwave 的安全套階層（SSL）開發人員 Sean Schulte 稱，Android 允許用戶取消點擊返回按鈕的標準。因此，這個應用程序能夠竊取這個重點。用戶不能點擊返回鍵退出。研究人員把這個漏洞稱作重點竊取安全漏洞。 

研究人員創建了一個概念證明工具。這個工具是一款遊戲，但是，能夠顯示假冒的 Facebook、亞馬遜和谷歌語音等應用程序。這個工具在安裝自己的時候是以作為合法的應用程序的一部分安裝的並且註冊為一項服務。因此，在手機起到之後，這個程序就恢復了。 

在演示中，這些假冒的網頁完全取代了合法的網頁，因此，用戶看不出什麼區別。 

Percoco稱，由於這個設計漏洞，遊戲或者應用程序開發人員能夠創建有針對性的彈出式廣告。 

===============================================

★數位夢想★ 由 Redwolf 製作以 創用CC 姓名標示-相同方式分享 3.0 台灣 授權條款 釋出