无码办公室丝袜ol中文字幕,亚洲欧洲免费

不僅僅統(tǒng)招學(xué)歷喲

熱門專業(yè)！
大學(xué)校園！
就業(yè)保障！
拿學(xué)歷又能高薪就業(yè)，誰能不愛！

了解詳情>

鄭州北大青鳥翔天信鴿參加“安心學(xué)習(xí)·放心就業(yè)”公約簽約儀式

讓每一個(gè)家庭“安心”、“放心”

教學(xué)為本
師愛為魂
安心學(xué)習(xí)
放心就業(yè)

了解詳情>

北大青鳥20周年慶典與總部年會(huì)鄭州翔天信鴿榮獲7項(xiàng)榮譽(yù)

深耕細(xì)作IT職業(yè)教育15載

青鳥之星教學(xué)質(zhì)量大獎(jiǎng)
卓越風(fēng)云人物
北大青鳥中心理事會(huì)成員
七項(xiàng)榮耀載譽(yù)而行！

了解詳情>

我們教學(xué)怎么樣

實(shí)力見證
網(wǎng)絡(luò)組一等獎(jiǎng)
網(wǎng)絡(luò)組二等獎(jiǎng)
軟件組四等獎(jiǎng)
200家校區(qū)脫穎而出！

了解更多>

北大青鳥職業(yè)IT20周年

重承諾
守信用
放心品牌
放心學(xué)習(xí)
靠靠譜譜好就業(yè)！

了解更多>

我命由我不由天

學(xué)個(gè)性的技術(shù)
做愛做的事
掙滿意的錢
衣食無憂
選擇寬且高大尚！

了解更多>

我們靠不靠譜

14年辦學(xué)
14年磨練
14年成長
14年探索
只為讓每個(gè)學(xué)員成材！

了解更多>

不打工也牛掰

好工作
好環(huán)境
高薪資
好課程
支持你成為有“錢”人！

了解更多>

學(xué)IT就讀北大青鳥

好工作
好未來
好老師
好課程
支持你成為受人尊敬的人！

安卓隱患：防毒軟件無法偵測木馬

作者：北大青鳥添加時(shí)間：08-06 瀏覽次數(shù)：0

　　鳳凰科技訊北京時(shí)間8月5日消息，據(jù)科技博客PCWorld報(bào)道，在拉斯維加斯舉辦的黑客安全大會(huì)(Defcon security conference)上，專家指出，谷歌安卓平臺(tái)內(nèi)置的一鍵谷歌授權(quán)功能允許用戶在谷歌網(wǎng)頁上、無需重復(fù)輸入密碼即可登錄各種應(yīng)用，這使得谷歌賬戶面臨被流氓軟件(rogue apps)攻擊的風(fēng)險(xiǎn)。

　　這種功能俗稱為“網(wǎng)頁登陸(weblogin)”，通過產(chǎn)生一個(gè)固定的代理、直接利用在設(shè)備上已授權(quán)的賬戶登錄谷歌網(wǎng)頁上的應(yīng)用。安全公司絆網(wǎng)(Tripwire)的研究員克雷格•楊(Craig Young)表示，網(wǎng)頁登陸能提供更好的用戶體驗(yàn)，但其卻對用戶個(gè)人的谷歌賬戶、以及谷歌應(yīng)用商城賬戶造成潛在隱私和安全威脅。楊還展示了黑客如何利用一款流氓軟件偷取用戶的網(wǎng)頁登陸代理、隨后將其發(fā)回給黑客，使其能夠利用這些賬戶侵入用戶的網(wǎng)頁瀏覽器、以獲取該用戶在谷歌應(yīng)用商城、電郵、云盤(Drive)、日歷、聲音(Voice)以及其他谷歌服務(wù)上的信息。

　　楊所展示的這款流氓軟件偽裝成一款在谷歌Play上發(fā)布、可觀看谷歌財(cái)經(jīng)的股票查詢應(yīng)用。在安裝此款應(yīng)用時(shí)，其將詢求用戶同意以便獲得直接接入設(shè)備賬戶、并通過此賬戶直接聯(lián)網(wǎng)。在運(yùn)行時(shí)，這個(gè)應(yīng)用又將再次尋求用戶同意、以便能夠利用網(wǎng)頁登陸功能接入U(xiǎn)RL——其中包括谷歌財(cái)經(jīng)的網(wǎng)站finance.google.com。這第二個(gè)步驟看似并未提供實(shí)質(zhì)信息，故大多數(shù)用戶都會(huì)同意接受。而一旦用戶同意，一個(gè)網(wǎng)頁登陸的代理就會(huì)生成，用戶便能自動(dòng)登入谷歌財(cái)經(jīng)的網(wǎng)站。與此同時(shí)，這個(gè)代理也將通過一個(gè)加密的連接被虹吸出來至黑客的服務(wù)器。

　　楊表示，更關(guān)鍵的問題在于，這個(gè)網(wǎng)頁登陸的代理并不僅僅能登陸谷歌財(cái)經(jīng)，其能夠登陸所有谷歌所提供的服務(wù)。比如說，其能夠讓黑客進(jìn)入用戶的谷歌硬盤獲取資料、通過電郵發(fā)郵件、在日歷應(yīng)用中編輯日程、接入谷歌網(wǎng)頁搜索歷史、或是存放在谷歌應(yīng)用商城額敏感性的公司數(shù)據(jù)。其同時(shí)也能夠接入用戶在谷歌Play上的賬戶，并遠(yuǎn)程在用戶設(shè)備上安全應(yīng)用、或是在支持谷歌聯(lián)合登陸(Google Federated Login)的第三方網(wǎng)頁上登陸。

　　如果用戶是一個(gè)公司谷歌應(yīng)用商城域名的管理員，這樣的攻擊將會(huì)影響到該公司整蠱谷歌應(yīng)用商城的運(yùn)營。黑客將能夠重設(shè)域名密碼、創(chuàng)造或修改全線、郵件列表、甚至是管理者。據(jù)楊稱，這樣的潛在威脅已經(jīng)于今年2月反饋給了谷歌，其已開始禁止一些黑客攻擊后可以運(yùn)行的權(quán)限。比如說，入股偶一個(gè)黑客通過網(wǎng)頁登陸代理獲得授權(quán)，其不能使用谷歌外賣(Google Takeout)服務(wù)來獲得整個(gè)谷歌賬戶的權(quán)限，也不能增加新的谷歌應(yīng)用商城用戶——盡管仍舊有些方法使得后一種禁令變得無效。

　　楊利用其設(shè)計(jì)的應(yīng)用程序展示了網(wǎng)頁登陸代理能夠很快生效，因?yàn)槠洳捎昧藰?biāo)準(zhǔn)安卓API(application programming interface，應(yīng)用程序界面)來獲得這個(gè)代理。然而，如果應(yīng)用程序利用漏洞來獲得設(shè)備的根權(quán)限，其將能夠在不經(jīng)用戶確認(rèn)的情況下直接獲得這個(gè)代理。研究員表示，這樣的流氓軟件很可能在谷歌Play里面潛伏一個(gè)月——直到有人將其視為惡意軟件報(bào)告給谷歌，但在此期間，谷歌Play搜索惡意應(yīng)用的服務(wù)Bouncer并不能探測出該流氓軟件。即便其能夠探測出該軟件，Bouncer也不會(huì)將其報(bào)告為惡意軟件，這就給Bouncer的有效性帶來了挑戰(zhàn)。

　　在這種流氓軟件被報(bào)告為惡意軟件之后，谷歌Play就會(huì)將其移除。如果用戶仍舊嘗試安裝這款軟件，安卓本地應(yīng)用認(rèn)證功能則會(huì)將其視為后門程式而屏蔽。大部分安卓防毒產(chǎn)品無法偵測出楊所展示的這款軟件為木馬程序，僅有一個(gè)私人咨詢軟件將這個(gè)流氓軟件報(bào)告為能夠接入賬戶的軟件。

　　防毒廠商比特凡德(Bitdefender)的首席安全策略師亞歷山德魯•卡特琳•柯索依(Alexandru Catalin Cosoi)表示：“楊今日的演講展示了，只要有足智多謀、肯下功夫，你便能輕易的侵入看起來保護(hù)的很好的系統(tǒng)。”柯索依認(rèn)為，唯一能夠阻止系統(tǒng)被侵入的方法就是增加攻擊的難度，以使得第一層鎖被破解之后還有一個(gè)新的鎖擺在面前。弱點(diǎn)是經(jīng)常能被找到的，所以持續(xù)性的研究毫無疑問能夠提升諸如谷歌Bouncer這樣的系統(tǒng)，使得黑客要攻擊需付的代價(jià)更大。

　　楊稱，企業(yè)不允許其IT管理員在他們的安卓設(shè)備上使用谷歌賬戶。而用戶也應(yīng)該警惕那些要求賬戶授權(quán)的應(yīng)用，且對于要求采用網(wǎng)頁登陸等方式的請求說“不”。谷歌應(yīng)增加一個(gè)選項(xiàng)，允許谷歌應(yīng)用商城域名所有者阻止利用網(wǎng)頁登陸的方式接入谷歌應(yīng)用商城。同時(shí)，谷歌也應(yīng)使得網(wǎng)頁登陸的請求涵蓋更多的信息，使得用戶清楚地知道他們的權(quán)限何在。

本文由站河南北大青鳥校區(qū)整編而成，如需了解更多IT資訊類的文章、新聞、課程和學(xué)習(xí)技巧、就業(yè)案例、招生詳情等問題，可以對在線咨詢老師進(jìn)行一對一問答！