移動安全公司Skycure日前表示，他們發(fā)現(xiàn)的一種新型Android惡意軟件無需任何權(quán)限就可讓惡意應(yīng)用程序獲取設(shè)備上所有文本類的數(shù)據(jù)。

據(jù)悉，這個惡意軟件名叫Accessibility Clickjacking，影響范圍幾乎涵蓋了所有的Android版本，除了Android 5.0 Lollipop和Android 6.0 Marshmallow。截至目前，它幾乎影響到了65%的現(xiàn)有Android設(shè)備，實際數(shù)量超過5億部。

Skycure表示，Accessibility Clickjacking無需用戶同意便可獲取包括電子郵件在內(nèi)的私人信息。它是一種惡意的UI更換技術(shù)，需要依賴于惡意網(wǎng)站在頁面上加載來自攻擊服務(wù)的隱形UI覆蓋，可偽裝實際的界面元素來欺騙用戶點擊。在此之前，它就曾經(jīng)針對一些重要的服務(wù)或架構(gòu)發(fā)起過攻擊，包括Facebook、Twitter和Flash，同時也被認(rèn)為是網(wǎng)頁應(yīng)用安全領(lǐng)域里的主要安全隱患。

SKycure還指出，Accessibility Clickjacking并不是理論上的威脅，上個月出現(xiàn)的勒索軟件Android.Lockdroid.E就使用了它來獲取管理員權(quán)限。當(dāng)目標(biāo)設(shè)備的輔助功能選項開啟之后，攻擊者甚至可以更改管理員權(quán)限。