科技公司与黑客：猫捉老鼠的游戏。不，这不是新电影的标题。这就是我们生活的现实。它总是一样的：科技公司发布了一个新的软件，黑客想方设法绕过它的安全措施。对这些话的最新确认是，一个名为 Hadoken 的黑客组织已经在开发一款具有内置方法的新应用程序，该方法可以绕过 Android 13 的一项新安全功能(通过Android Police)。

借助 Android 13，Google 现在可以防止侧载应用访问您手机的无障碍服务。这变得很有必要，因为黑客可以利用 Google 的辅助功能 API 来控制您的手机并窃取银行账户等重要数据。

然而，正如ThreatFabric的研究人员所发现的那样，Hadoken 的应用程序(研究人员将其命名为 BugDrop)使用 Google 的基于会话的软件包安装 API 绕过了 Android 13 的新预防措施。这是一个 API，它允许像 Amazon App Store 这样的应用程序在您的手机上下载和安装其他应用程序。在 Hadoken 的案例中，执行此操作的应用程序——或者像 ThreatFabric 所说的“滴管”——是一个 QR 码阅读器，当它启动时，

从下图中我们可以看出，Android 13 限制了应用程序访问手机的无障碍服务，但并没有阻止下载的有效载荷。该恶意软件仍然可以激活和利用可访问性 API。

现在，BugDrop 似乎仍在开发中，因为来自 ThreatFabric 的团队发现该应用程序没有请求“REQUEST_INSTALL_PACKAGES”权限，否则它无法在您的手机上安装任何东西。但是，这种情况可能很快就会改变，因此我们希望 Google 能够找到一种方法来修复 Hadoken 试图滥用的漏洞。确实是猫捉老鼠的游戏。