权限绕过攻击法可借Google语音搜索完成入侵

7/28/2014来源:Google推广人气:1402

近日,香港中文大学的研究人员在预印本网站上发表论文,介绍了一种新的权限绕过攻击方法:Google语音搜索攻击。

  攻击者可以利用一个零权限的Android应用VoicEmployer,前台激活操作系统内置的语音助手模块Google Voice Search,后台播放预先准备好的音频文件,语音搜索能识别语音命令执行相应操作。

  也就是说,攻击者利用漏洞让Google语音读取攻击者发送过去的音频文件实现种种操作,所以Google语音能够做到的事情,攻击者都能够操控。

<

8IZ7LZ26LP8I.jpg

 

这个漏洞攻击非常危险,因为Google语音可以实现安卓系统的大部分功能,如拨打电话、发送短信、传输数据等等,所以攻击者可以借助这一机制,不需要任何权限就可以拨打任意电话号码,伪造短信/电子邮件,访问私人信息,传输敏感数据,实现远程控制。研究人员认为,在理论上,任何内置Google Services Framework的Android设备都可能受到这一攻击的影响