趨勢科技最近發現一些Android應用程式內的漏洞可能會讓使用者的資料陷入危險或被用來發動攻擊。我們所調查的兩個受影響應用程式都很受歡迎:
- 超過一千萬次安裝及在下載頁面擁有數十萬筆使用者留言的生產力應用程式
- 超過一百萬次安裝及在下載頁面擁有數千筆使用者留言的購物相關應用程式
問題出在執行應用程式功能的特定Android元件。此元件有個屬性名稱為「android:export」,一旦設定為「true」,就可以讓此元件被其他應用程式執行或存取。這代表設備內安裝的其他應用程式可能可以去觸發其他應用程式的某些功能。這對於想和其他廠商的應用程式建立夥伴關係的開發者和廠商來說很方便,但從安全的角度來看,這也帶給了網路犯罪分子機會。
利用活動發動攻擊
可能有多種方法來利用此問題,取決於攻擊者的意圖和受影響應用程式的本質。舉例來說,在趨勢科技的分析中,我們發現購物應用程式的一個特定活動(當使用者進行購買時會顯示彈出式視窗)有可能會被利用來讓其他應用程式觸發。
此問題所代表的是惡意應用程式可以在購物應用程式內顯示彈出式視窗,並用來發動攻擊。攻擊者可以製作惡意應用程式來顯示導致惡意連結或其他惡意應用程式的彈出式視窗。
利用內容供應商竊取資訊
另一種利用此安全問題的可能方式是針對處理會關鍵資料的內容供應商,好加以收集。舉例來說,一個在生產力應用程式內儲存使用者輸入的內容供應商可能被用來擷取資料。 繼續閱讀