安卓又出新漏洞：用户界面设计都能黑？

　　安卓作为全球用户最多的智能手机操作系统，吸引黑客兴趣是再正常不过的事了。虽然谷歌每个月都发布软件更新包，不断的修复Android系统中的已知缺陷和漏洞，以此来不断的提高Android智能手机的安全性。不过漏洞不一定要找代码中的错误，Android在用户界面部分深思熟虑的特性，也能成为黑客的突破口。

　　一个小型安全团队最近披露了Android用户界面中的“设计问题”，据他们称，网络犯罪分子可以利用这些“设计问题”，神不知鬼不觉地从运行Android 7.1.2或早期版本Android的智能手机中窃取密码和个人数据。

　　phoneArena表示，安全专家描述了一种被称作“Cloak & Dagger”的新技术，黑客可以利用“Cloak & Dagger”，使恶意应用通过隐蔽但不设防的“一扇门”潜入智能手机。黑客利用“Cloak & Dagger”兴风作浪只需要两个权限：第一种权限对所谓的“draw on top”（用于在其他应用元素之上绘制窗口或应用元素）特性提供支持；第二种权限是“a11y”，被用来向残疾用户提供帮助的界面特性。但一旦被授予后，这两种权限使黑客能完成各种恶意攻击，例如记录用户输入的每个词汇——其中包括密码，安装具有能完全控制移动设备所需权限的恶意应用。

　　黑客能秘密发动攻击的原因是，这两种权限的处理方式不同于传统权限，例如定位或WiFi使用。系统不会询问用户是否授予应用权限，“draw on top”权限会自动授予要求它的应用，例如Facebook Messenger。这种方式还使得应用能在用户不知情的情况下获得“a11y”权限。

　　phoneArena称，但事情并非像表面上看起来那样恐怖。首先，Android用户界面缺陷是由安全专家而非黑客披露的，目前尚没有利用“Cloak & Dagger”的已知攻击或病毒出现。此外，所有相关信息已经提交给谷歌，因此它可能将在即将发布的软件更新包中解决这一问题。事实上，谷歌已经在为其Android O平台开发补丁软件，限止应用在系统用户界面上绘制其他元素。

　　如果在安装应用时谨慎一些，用户也无需过于担心“Cloak & Dagger”攻击，例如下载Google Play上受信任开发者发布的应用，在安装前阅读用户评论。

　　如果用户想更进一步，解决自动授予权限的问题很容易。在Android 7.1.2中，用户可以依次打开“设置》应用》设置》特殊权限》在其他应用上绘制”，关闭“draw on top”权限；用户可以在“设置》无障碍》服务”中查看哪些应用要求“a11y”权限。