原标题:资安业者:Android for Work含有两个中间程式攻击漏洞
以色列资安业者Skypcure技术长Yair Amit本周揭露了Android for Work含有两个中间程式攻击(app-in-the-middle)漏洞,将允许安装在个人档案(Personal profile)的恶意程式窃取来自工作档案(Work profile)的资讯,并将它们传送到骇客所操控的C C伺服器上。
Android for Work为Google在2015年专为企业环境所打造的行动服务,它是基于沙箱或安全容器概念,于Android装置上建立一个具备企业等级控管能力的隔离空间,用以储存所有的企业应用程式、电子邮件及文件。同一装置上除了企业用的工作档案之外,另有属于私人空间的个人档案,可储存个人资料及安装各种应用程式。
然而,Amit本周却展示了两项攻击,可藉由个人档案中所安装的程式窃取工作档案的内容。其中一个途径是利用Android for Work的通知功能,另一个则是透过Android平台上的辅助服务(Accessibility Service)。
Amit说明,Android for Work的通知与个人通知採用同样的介面,由于通知的存取是属于装置等级的权限,因此个人档案中的恶意程式亦可取得检视所有通知的权限,包含工作通知,而让通知中所显示的会议时间、邮件讯息或其他机密资讯曝光。
至于Android平台上的辅助服务则是用来强化使用者与装置的互动能力,包含可唸出萤幕上的文字,因此,位于个人档案中、取得辅助服务权限的恶意程式亦能存取工作档案中正执行的程式,绕过Android for Work的保护。Amit认为,除了Android平台可能被骇而让机密资讯曝光之外,另一个风险则是会让使用者误以为拥有安全容器就能保障资讯的安全。
?
相关:
Gmail恶意邮件调查大揭密:攻击企业信箱的恶意程式数量是个人信箱的4.3倍
图片来源: Google Gmail安全团队本周在RSA 2017资安会议上发表了针对Gmail上用于公务的信箱与个人信箱之恶意程式活动的分析报告,指出公务信箱所收到的恶意程式数量是个人信箱的4.3倍,公务信箱所收到的网钓攻击数量
记者/刘皓涵 Uber台湾于本月10日停止载客服务,引起哗然!2月16日交通部召开会议,请来Uber台湾、司机代表、以及计程车业者,讨论如何让Uber在台合法营运;而该日下午Uber即发出声明表示:“Uber与交通部达成共识,
IBM旗下The Weather释出行动程式,没有网络也能传送灾难警报
图片来源: IBM IBM在2015年以25亿美元买下的气象分析暨预测公司The Weather Company在本周三(2/15)发表了新的网状网路警报(Mesh Network Alerts)技术,即便在没有网路连线或基地台挂掉的情况下都能传递紧急的气象
劳动部晚间公布首波旅行社及游览车客运业劳检结果,首先被稽查的明扬通运跟巨恒旅行社都有违反劳基法或职业安全卫生法,将依法裁罚。劳动部、交通部等相关主管机关今天宣布,即日起至4月20日止启动“旅行社及游览车客
行政院农委会为防止H5N6高病原性禽流感病毒扩散,今天宣布从明天起全国家禽禁运禁宰7天。宜兰鸭赏业者说,过年后到中秋本就不是生产旺季,暂不受影响。农委会主委林聪贤下午指出,考量H5N6高病原性禽流感潜伏期,17