Theo giáo sư Zhiyun Qian làm việc tại UC Riverside cho biết các ứng dụng cài đặt trên máy có thể can thiệp với nhau, dẫn đến hậu quả tai hại cho người dùng.

Để chứng minh phương pháp tấn công, đầu tiên họ tải về và cài đặt một ứng dụng có chứa mã độc, chẳng hạn như hình nền. Sau khi cài đặt, nhóm nghiên cứu có thể sử dụng nó để truy cập số liệu thống kê bộ nhớ chia sẻ mà không cần bất kỳ một yêu cầu đặc biệt nào.

Các nhà nghiên cứu sau đó theo dõi những thay đổi trong bộ nhớ chia sẻ này và có thể thay đổi tính tương quan với các hoạt động khác nhau, chẳng hạn như đăng nhập vào Gmail, tài khoản ngân hàng... với tỷ lệ thành công khoảng từ 82-92%. Sử dụng một vài kênh phía bên kia, nhóm nghiên cứu đã có thể theo dõi chính xác những gì người dùng đã làm theo thời gian thực.

Tuy nhiên, để cuộc tấn công thành công sẽ cần hai điều. Thứ nhất, cuộc tấn công cần phải diễn ra vào đúng thời điểm mà người dùng đang thao tác. Thứ hai, cuộc tấn công cần phải được tiến hành theo cách mà người dùng không hề biết về nó.

Tiến sẽ kỹ thuật điện Alfred Qi Chen thuộc Đại học Michigan cho biết, khi người dùng sử dụng ứng dụng ngân hàng để đăng nhập, nhóm nghiên cứu có thể đưa một màn hình đăng nhập giả mạo giống hệt màn hình chính thức, điều này khiến người dùng sẽ bị lừa khi khai báo các thông tin đăng nhập.

Trong số bảy ứng dụng thử nghiệm, Amazon là khó khăn nhất để tấn công khi tỷ lệ thành công chỉ đạt 48%.

Để tránh vấn đề này, Qian đề nghị người dùng không được cài đặt những ứng dụng không đáng tin, thêm vào đó họ cũng nên cảnh giác với khả năng tiếp cận thông tin theo yêu cầu của ứng dụng cài đặt.