繼上次 WannaCry 勒索病毒席卷全球后，Windows XP 和未安裝更新的 Windows 電腦遭遇了前所未有的安全問題。當(dāng)然，這一事件有好有壞，好的一面也促使了更多的用戶開始關(guān)注電子設(shè)備的安全問題。

現(xiàn)在，另一個安全問題出現(xiàn)在了全球手機操作系統(tǒng)占有率高達 86.1% 的 Android 上。

　　（圖自：Android Central）

近日，加州大學(xué)圣巴巴拉分校和佐治亞理工大學(xué)的研究人員，發(fā)現(xiàn)了一種名為 Cloak and Dagger 的惡意軟件 ，可以偷偷植入到 Android 手機上，它能夠幫助黑客記下被入侵者手機上的操作記錄，甚至可以讓黑客隨意安裝 app，而被入侵的人可能都不會察覺。

事實上，Cloak and Dagger 利用了 Android UI 的安全漏洞，它只需要調(diào)用系統(tǒng)兩個權(quán)限來實現(xiàn)入侵：System Alert Window（“draw on top”）和 Bind Accessibilty Service（“a11y”）。

而目前在 Play Store 下載的任何 app 的，Android 系統(tǒng)只會自動授予一些比較基礎(chǔ)的權(quán)限。如果黑客想要入侵你的手機，他就需要在 app 里面誘導(dǎo)你再開通 Bind Accessibilty Service 這個權(quán)限，可能通過一些看不見的按鈕，讓你誤開啟這個權(quán)限。

　　這可能很危險，研究人員表示：

更糟糕的是，我們注意到，只要手機被入侵，黑客就像遠程操控你的手機一樣，而與此同時在手機屏幕仍然關(guān)閉。

也就是說，黑客可以你手機黑屏的情況下，執(zhí)行一系列惡意操作，比如說亂發(fā)你的朋友圈，進入沒有密碼的支付寶，查看你的照片，或者干脆把你的手機鎖住，讓你無法使用。

Google 也發(fā)現(xiàn)了這個安全問題。

一位發(fā)言人表示他們正在與研究人員溝通，希望能夠一起解決這個問題，同時他們也感謝這些研究人員所做出的努力。

我們已經(jīng)在 Google Play 上更新了 Android 設(shè)備的安全服務(wù)，以檢測和阻止安裝 Cloak and Dagger 這種惡意軟件。在此之前，我們已經(jīng)在 Android O 中構(gòu)建了新的安全保護措施，將進一步加強 Android 的安全性。

研究人員 Yanick Fratantonio 認(rèn)為，Android O 最近可能會對 Cloak and Dagger 推出針對性的補丁?，F(xiàn)在他給出的建議是