科技公司与黑客：猫捉老鼠的游戏。不，这不是新电影的标题。这就是我们生活的现实。它总是一样的：科技公司发布了一个新的软件，黑客想方设法绕过它的安全措施。对这些话的最新确认是，一个名为Hadoken的黑客组织已经在开发一款具有内置方法的新应用程序，该方法可以绕过Android13的一项新安全功能(通过AndroidPolice)。

借助Android13，Google现在可以防止侧载应用访问您手机的无障碍服务。这变得很有必要，因为黑客可以利用Google的辅助功能API来控制您的手机并窃取银行账户等重要数据。

然而，正如ThreatFabric的研究人员所发现的那样，Hadoken的应用程序(研究人员将其命名为BugDrop)使用Google的基于会话的软件包安装API绕过了Android13的新预防措施。这是一个API，它允许像AmazonAppStore这样的应用程序在您的手机上下载和安装其他应用程序。在Hadoken的案例中，执行此操作的应用程序——或者像ThreatFabric所说的“滴管”——是一个QR码阅读器，当它启动时，

从下图中我们可以看出，Android13限制了应用程序访问手机的无障碍服务，但并没有阻止下载的有效载荷。该恶意软件仍然可以激活和利用可访问性API。

现在，BugDrop似乎仍在开发中，因为来自ThreatFabric的团队发现该应用程序没有请求“REQUEST_INSTALL_PACKAGES”权限，否则它无法在您的手机上安装任何东西。但是，这种情况可能很快就会改变，因此我们希望Google能够找到一种方法来修复Hadoken试图滥用的漏洞。确实是猫捉老鼠的游戏。