据外媒 25 日报道，安全研究人员于近期发现一种新型攻击手段 Cloak and Dagger（ “ 斗篷与匕首 ” ），允许黑客完全控制任意版本的 Android 设备（ 包括最新版本 7.1.2 ）、窃取私人敏感数据，其中包括击键与聊天记录、设备 PIN 码、在线帐户密码、OTP 动态口令与通讯录联系人信息等。

有趣的是，此攻击手段并非利用 Android 生态系统中的任何漏洞，而是滥用流行应用商城中广泛使用的合法权限访问 Android 设备上的某些功能。Cloak and Dagger 主要利用 Android 系统的两项基本权限：

由于 Cloak and Dagger 无需利用任何恶意代码执行木马程序，因此黑客极易开发并提交恶意应用程序且不易被谷歌商店发现。据悉，黑客可在安装恶意应用程序后执行各种操作，主要包括高级劫持攻击、无限制访问击键记录、隐身 *** 钓鱼攻击、静默安装获得所有操作权限的 God-mode 应用、在保持屏幕关闭的状态下解锁手机进行任意操作等。

简而言之，黑客可以暗中接管用户 Android 设备并监视设备上的一举一动。目前，虽然研究人员已向 Google 披露该攻击手段，但由于此类问题源自 Android 操作系统设计缺陷且涉及两个标准功能的正常运行，因此该问题恐怕一时无法解决。安全专家建议用户始终从 Google Play 商店下载应用程序并在安装应用程序之前仔细检查权限设置。

原作者：Swati Khandelwal， 译者：青楚，译审：游弋
本文由 HackerNews.cc 翻译整理，封面来源于 *** 。
转载请注明“转自 HackerNews.cc ” 并附上原文链接