谷歌證實(shí)所有Android版本均存短信欺詐漏洞
掃描二維碼
隨時(shí)隨地手機(jī)看文章
21ic網(wǎng)友雜談:據(jù)國(guó)外媒體報(bào)道,北卡羅來(lái)納州州立大學(xué)(NC State University)研究員日前在進(jìn)行一項(xiàng)有關(guān)智能手機(jī)的研究項(xiàng)目中發(fā)現(xiàn)了一個(gè)存在于Android 平臺(tái)的“短信欺詐”(Smishing)漏洞,據(jù)悉,該漏洞可以允許應(yīng)用在Android平臺(tái)上進(jìn)行短信偽裝,且在所有版本的Android軟件中都存在這一漏洞。
更為可怕的是,這一漏洞可以令惡意應(yīng)用在不需要用戶任何許可的前提下進(jìn)行攻擊。在Android Open Source Project(AOSP)項(xiàng)目中,研究員發(fā)現(xiàn)這一漏洞存在于所有的Android系統(tǒng)版本中,其中包括凍酸奶(Froyo 2.2.x), 姜餅(Gingerbread 2.3.x),冰激淋三明治(Ice Cream Sandwich 4.0.x)和果凍豆(Jelly Bean 4.1)。研究員還發(fā)現(xiàn),在對(duì)多款流行的Android設(shè)備,其中包括谷歌(微博)Galaxy Nexus、Nexus S、HTC One X、HTC Inspire、小米MI-One和三星Galaxy S3等機(jī)型測(cè)試后,這一漏洞已被證實(shí)在上述機(jī)型中存在。
據(jù)悉,北卡羅來(lái)納州州立大學(xué)研究員們已經(jīng)在10月30日將這個(gè)漏洞通報(bào)給了谷歌安全團(tuán)隊(duì),后者在10分鐘內(nèi)就給予了我們回復(fù)。隨后,谷歌Android安全團(tuán)隊(duì)在2天后證實(shí)了該漏洞的存在,并表示會(huì)認(rèn)真對(duì)待這個(gè)問(wèn)題,且已經(jīng)開始對(duì)該漏洞展開調(diào)查。
研究員透露,谷歌告訴他們“將在未來(lái)的Android系統(tǒng)升級(jí)中修復(fù)這一漏洞。”到目前為止,谷歌尚沒有收到有用戶因?yàn)樵撀┒炊艿焦舻膱?bào)告。
為了Android用戶的安全考慮,北卡大學(xué)研究員們承諾在谷歌發(fā)布正式補(bǔ)丁之前,不會(huì)公開這個(gè)漏洞的具體信息。在此期間,這些研究員們建議用戶在下載和安裝應(yīng)用程序時(shí)提高警惕,尤其是對(duì)于那些來(lái)源不明的應(yīng)用更要多加注意。此外,在接到短信息時(shí),用戶也應(yīng)格外注意不要輕易點(diǎn)擊短信息中的網(wǎng)站鏈接或撥打其中的電話號(hào)碼,因?yàn)楣粽呖梢岳肁ndroid應(yīng)用將惡意短信進(jìn)行偽裝,讓短信看起來(lái)象是用戶聯(lián)系人中的某位好友發(fā)來(lái)的信息。
研究員們?nèi)涨耙褜⒁欢卫迷摪踩┒窗l(fā)動(dòng)攻擊的視頻上傳到了YouTube上。目前,我們尚不清楚谷歌什么時(shí)候能為用戶提供該漏洞的正式補(bǔ)丁。值得一提的是,用戶接受新版本Android系統(tǒng)的速度通常較慢,因此該漏洞的有關(guān)的問(wèn)題可能會(huì)在幾個(gè)月后才開始暴露。