谷歌證實(shí)Android存在欺詐漏洞:涉及所有版本
掃描二維碼
隨時(shí)隨地手機(jī)看文章
美國北卡羅來納州州立大學(xué)研究員最近發(fā)現(xiàn)了一個(gè)存在于Android平臺(tái)的“短信欺詐”(Smishing)漏洞,Android應(yīng)用可以通過該漏洞對(duì)短信進(jìn)行偽裝,實(shí)施釣魚式欺詐攻擊。目前該漏洞已獲谷歌證實(shí)。
NCSU的研究員表示,該漏洞很容易被攻破,可能被大量用來進(jìn)行“釣魚”攻擊,獲取用戶信息。更可怕的是,該漏洞可以讓欺詐應(yīng)用在不需要獲得用戶任何許可的前提下發(fā)起攻擊。換句話說,這一漏洞可定性為WRITE_SMS功能的泄漏。
另一個(gè)可怕的現(xiàn)實(shí)是,該漏洞可能存在于當(dāng)前Android軟件的所有版本中,因?yàn)樵撀┒窗贏ndroid Open Source Project(AOSP)項(xiàng)目中。NCSU的研究員目前發(fā)現(xiàn)包含該漏洞的智能手機(jī)有Galaxy Nexus、Nexus S、HTC One X、HTC Inspire、小米1代和三星Galaxy S3等。這些設(shè)備涉及的Android系統(tǒng)版本包括凍酸奶(Froyo 2.2.x)、姜餅(Gingerbread 2.3.x)、冰激淋三明治(Ice Cream Sandwich 4.0.x)和果凍豆(Jelly Bean 4.1)。
NCSU研究員稱已于10月30日將這一漏洞通知了谷歌安全團(tuán)隊(duì),并且和往常一樣,他們?cè)?0分鐘內(nèi)就得到了答復(fù)。11月1日,谷歌Android安全團(tuán)隊(duì)向NCSU研究團(tuán)隊(duì)證實(shí)了該漏洞的存在,并表示已開始認(rèn)真調(diào)查。
NCSU研究員透露,谷歌已表示將在未來的Android系統(tǒng)升級(jí)版本中修復(fù)這一漏洞。截至目前,谷歌方面還沒有收到有用戶因?yàn)樵撀┒炊艿焦舻膱?bào)告。
NCSU研究員表示,出于責(zé)任考慮,在谷歌發(fā)布正式補(bǔ)丁之前,他們不會(huì)公開這個(gè)漏洞的具體信息。但研究員們建議,用戶在下載和安裝應(yīng)用程序時(shí)要提高警惕,尤其是對(duì)那些來源不明的應(yīng)用。
NCSU的研究員們還舉例描述了用戶該如何規(guī)避這一漏洞,譬如在接到短信息時(shí),不要輕易點(diǎn)擊短信息中的網(wǎng)站鏈接或撥打其中的電話號(hào)碼,因?yàn)楣粽呖赡芤呀?jīng)利用該應(yīng)用將惡意短信進(jìn)行偽裝,讓短信看起來像是用戶聯(lián)系人中的某位好友發(fā)來的信息。
NCSU的研究員們已將一段利用該安全漏洞發(fā)動(dòng)攻擊的展示視頻上傳到Y(jié)ouTube,目前尚不清楚谷歌何時(shí)能為當(dāng)前Android版本的用戶提供漏洞補(bǔ)丁。