研究人員以 92% 的成功率劫持 Gmail 應用

    你從第三方網站下載了一個墻紙應用，它不需要任何權限，所以你推測它不會是惡意應用。但加州大學河濱分校的研究人員發表的一篇研究報告（PDF）

指出，不需要任何權限的應用程序也能竊取你的敏感信息。這種攻擊方法被稱為UI狀態推斷攻擊，他們針對的平臺是Android，但認為其它操作系統存在類 似的弱點。程序打開一個窗口需要占用內存，惡意程序通過監視已用內存和未用內存的變化，可以推斷你打開了哪個程序的什么窗口，比如惡意程序作者觀察到打開 一個貝寶登錄窗口需要占用多少多少內存，安裝在你手機上的惡意程序監視到已占用內存增加了相同大小的空間，它能推斷你正在打開的是貝寶登錄窗口，它可以彈 出一個假的貝寶登錄窗口，誘騙你輸入登錄信息。通過統計分析進程的共享內存變化，研究人員能以92%的成功率劫持Gmail應用。

來自: Solidot