本文來自：愛范兒

　　繼上次 WannaCry 勒索病毒席卷全球后，Windows XP 和未安裝更新的 Windows 電腦遭遇了前所未有的安全問題。當然，這一事件有好有壞，好的一面也促使了更多的用戶開始關注電子設備的安全問題。

　　現(xiàn)在，另一個安全問題出現(xiàn)在了全球手機操作系統(tǒng)占有率高達 86.1% 的 Android 上。

　　近日，加州大學圣巴巴拉分校和佐治亞理工大學的研究人員，發(fā)現(xiàn)了一種名為 Cloak and Dagger 的惡意軟件 ，可以偷偷植入到 Android 手機上，它能夠幫助黑客記下被入侵者手機上的操作記錄，甚至可以讓黑客隨意安裝 app，而被入侵的人可能都不會察覺。

　　事實上，Cloak and Dagger 利用了 Android UI 的安全漏洞，它只需要調用系統(tǒng)兩個權限來實現(xiàn)入侵：System Alert Window（“draw on top”）和 Bind Accessibilty Service（“a11y”）。

　　而目前在 Play Store 下載的任何 app 的，Android 系統(tǒng)只會自動授予一些比較基礎的權限。如果黑客想要入侵你的手機，他就需要在 app 里面誘導你再開通 Bind Accessibilty Service 這個權限，可能通過一些看不見的按鈕，讓你誤開啟這個權限。

　　這可能很危險，研究人員表示：

更糟糕的是，我們注意到，只要手機被入侵，黑客就像遠程操控你的手機一樣，而與此同時在手機屏幕仍然關閉。

　　也就是說，黑客可以你手機黑屏的情況下，執(zhí)行一系列惡意操作，比如說亂發(fā)你的朋友圈，進入沒有密碼的支付寶，翻看你的照片，收集你的操作記錄獲取你的密碼，或者干脆把你的手機鎖住，讓你無法使用。

　　顯然，Google 也發(fā)現(xiàn)了這個安全問題。

　　一位 Google 的發(fā)言人表示他們正在與研究人員溝通，希望能夠一起解決這個問題，同時他們也感謝這些研究人員所做出的努力。

我們已經(jīng)在 Google Play 上更新了 Android 設備的安全服務，以檢測和阻止安裝 Cloak and Dagger 這種惡意軟件。在此之前，我們已經(jīng)在 Android O 中構建了新的安全保護措施，將進一步加強 Android 的安全性。

　　研究人員 Yanick Fratantonio 認為，Android O 最近可能會對 Cloak and Dagger 推出針對性的補丁�，F(xiàn)在他給出的建議是：

不要下載那些來路不明的 app，并且要留意 app 申請的系統(tǒng)權限。