Android 系統設計存漏洞隨時可能會被『釣魚』！

在 8 月初舉行的駭客大會 Defcon 19 上，有資安公司 Trustwave 員工表示他們發現在 Android 系統設計潛在嚴重安全漏洞，而且後果可大可小，輕則彈出令人反感的 Pop-up 廣告，重則遇到假冒登入頁的釣魚網站，收集使用者的個人資料或信用卡資訊以從事非法活動。

資安公司 Trustwave 的開發人員 Sean Schulte 稱，Android 是個多工的作業環境，如果在同一時間運行多款 App 的時候，個別 App 要發出提醒或者推送資訊給使用者，都會透過螢幕頂端的通知欄上顯示。但除此之外，原來 Android SDK 開發套件還提供另一個辦法，容許物件（Object）能夠隨時自行彈出，讓用家在不知情的情況下被帶至另一個頁面。

Sean Schulte 表示這個設計上的漏洞是非常危險，不單可讓廣告肆意彈出造成極大困擾，也給駭客提供了方便之門，透過釣魚網站（偽造真實網站）竊取用戶的個人帳號和密碼，甚至可輕易將木馬病毒程式植入機內。

Sean Schulte 也在大會中利用 Android App 當場示範，只是畫面一閃而過，就可將手機版 Facebook 的登入介面轉換為模仿度極高的釣魚網站，而且速度之快不讓使用者有所察覺。 

不過最令人擔憂的是，暫時該功能並不能透過權限清單中發現，因為它被列入為 Activity Service，只當作為基本功能之一。Google 方面已就這個問題作出回應，表示該功能認為可提高 App 與用戶之間的互動性，而且到目前為止，未有發現任何利用該漏洞的攻擊行為。看來 Google 不會在短期內作出修改或推出防範措施，大家只好在使用手機時提高警覺，不 ​​要輕易輸入任何敏感資料，免招損失。

===============================================

★數位夢想★ 由 Redwolf 製作以 創用CC 姓名標示-相同方式分享 3.0 台灣 授權條款 釋出