巧兒分享

Android的應用平台安全性出現大漏洞！網路駭客可以藉由釣魚程式攻破藉由的假的網路登入畫面竊取資訊，甚至強制跳出廣告，影響使用者的隱私及權益。Trustwave公司開發人員舒爾特以及資深副總經理帕可在2011駭客大會親自示範Facebook登入網頁遭替換的畫面，並將問題回報給Google，希望官方能夠即刻改善。

Trustwave 是管理網路資訊安全的知名公司，可分析、保護及驗證組織的網路資訊和應用程式，客戶遍布世界各地大大小小的企業公司。駭客大會則每年提供駭客們公開露面的機會，比賽侵入網頁瀏覽器以及智慧型手機。2011年度國際駭客大會上周末在美國拉斯維加斯舉行。

舒爾特在大會中當場示範，當使用者打開手機應用程式，連線到facebook登入畫面時，假的登入畫面趁使用者不注意時，一閃而逝取代真正的facebook登入頁面。他說：「Android平台開放這類應用程式檢查手機狀態，因此系統並不會出現任何警告訊息，提醒使用者小心這些偽裝的外來程式。」

Android的程式漏洞可讓駭客置入看起來無害的應用程式，在使用者登入網路銀行帳戶時顯示假的登入畫面，以竊取使用者的帳戶資訊和密碼。遊戲和應用程式開發商則可以藉此設計出彈窗式廣告，甚至干擾競爭廠商的應用程式正常運作，造成使用者的困擾

Google方面已收到Trustwave的問題回報，公司發言人回應表示，Android目前為止並未發現有任何開發商利用程式漏洞設計出非法軟體，目前正嘗試在不損害合法程式功能的情況下改善問題，若發現某程式有任何類似情況，該程式將會立刻從Android軟體市集中移除。