研究人员上周六披露了Android的一个漏洞，犯罪分子可以利用该漏洞窃取用户数据，而广告主可以借此发布恼人的弹出式广告。

　　窃取数据

　　美国安全公司Trustwave高级副总裁兼SpiderLabs主管尼古拉斯-柏库克(Nicholas Percoco)表示，开发者可以创建表面看起来没有问题的应用，但是当用户使用合法的银行应用时，该应用便会启动虚假的银行应用登录页面。

　　柏库克表示，当用户正在查看一款应用时，如果还有应用想要与用户交流，只需要在屏幕顶端的通知栏上发布提示即可。但在Android的SDK(软件开发套件)中却有一个API(应用编程接口)，可以将特定的应用推向前台。

　　“Android允许你取消‘返回’按钮。”Trustwave的SSL开发者肖恩-舒尔特(Sean Schulte)说。柏库克则补充道：“正因如此，应用可以窃取用户的注意力，而且无法点击返回按钮或是退出。”他们已经将该漏洞命名为“注意力窃取漏洞”。

　　研究人员已经创建了一个验证工具，表面看来只是一个游戏，但却可以弹出虚假的Facebook、亚马逊、谷歌语音以及Gmail客户端登录界面。这款工具可以作为一款合法应用的一部分进行加载，并且注册为一项服务，所以当手机重启后仍会继续存在。

　　在演示过程中，当用户打开这款应用，并看到Facebook的登录界面后，唯一有些奇怪的地方是屏幕上的一个快速闪烁的光点，但多数用户都不会注意到。这个虚假屏幕与真实的登录屏幕完全一样，用户无法看出其中的差异。

　　弹出广告

　　柏库克表示，借助这一设计缺陷，游戏和应用开发者可以制作精准弹出广告。这种广告不仅非常恼人，而且可以进行精准定位：当用户启动竞争对手的应用时，便可以弹出相应的广告。

　　舒尔特表示，当用户下载应用时，不会收到任何提示信息，因为Android系统允许应用检查手机使用状态。柏库克称，他们几周前就已经与谷歌员工取得了联系，对方承认存在问题，并表示将努力解决这一问题。

　　谷歌发言人称：“在应用间切换的目的是为了鼓励应用之间展开更为丰富的互动。我们尚未发现Android Market中有应用利用这项技术，我们将删除所有存在这种情况的应用。”

　　柏库克则对此回应道：“应用切换不是问题，关键问题在于其他应用能够判断哪个应用位于前台，并在未获用户许可的情况下启动应用，并跳到屏幕前端。我们还发现，用户根本无法区分恶意应用和合法应用之间的区别。”

　　他补充道，由于黑客发布应用的速度比谷歌的反应速度快得多，因此等到用户汇报恶意程序之后再移除相关应用的做法非常危险。

(责任编辑：)