Android 系統存在設計漏洞 釣魚網站隨時出現

在8月初舉行的駭客大會Defcon 19 上，有資安公司Trustwave 員工表示他們發現在Android 系統設計潛在嚴重安全漏洞，而且後果可大可小，輕則彈出令人反感的Pop-up 廣告，重則遇到假冒登入頁的釣魚網站，收集使用者的個人資料或信用卡資訊以從事非法活動。

資安公司Trustwave 的開發人員Sean Schulte 稱，Android 是個多工的作業環境，如果在同一時間執行多款App 的時候，個別App 要發出提醒或者推送資訊給使用者，都會透過螢幕頂端的通知欄上顯示。但除此之外，原來Android SDK 開發套件還提供另一個辦法，容許物件(Object)能夠隨時自行彈出，讓用家在不知情的情況下被帶至另一個頁面。

Sean Schulte 表示這個設計上的漏洞是非常危險，不單可讓廣告肆意彈出造成極大困擾，也給駭客提供了方便之門，透過釣魚網站(偽造真實網站)竊取用戶的個人帳號和密碼，甚至可輕易將木馬病毒程式植入機內。 Sean Schulte 也在大會中利用Android App 當場示範，只是畫面一閃而過，就可將手機版Facebook 的登入介面轉換為模仿度極高的釣魚網站，而且速度之快不讓使用者有所察覺。

不過最令人擔憂的是，暫時該功能並不能透過權限清單中發現，因為它被列入為Activity Service，只當作為基本功能之一。 Google 方面已就這個問題作出回應，表示該功能認為可提高App 與用戶之間的互動性，而且到目前為止，未有發現任何利用該漏洞的攻擊行為。看來Google 不會在短期內作出修改或推出防範措施，大家只好在使用手機時提高警覺，不要輕易輸入任何敏感資料，免招損失。