研究：所有版本Android均存在短信欺詐漏洞

11月5日消息，據(jù)國外媒體報(bào)道，北卡羅來納州大學(xué)（NCSU）的研究員們?cè)?strong>Android Open Source Project（AOSP）項(xiàng)目中發(fā)現(xiàn)了一個(gè)“短信欺詐”（Smishing）漏洞，并且該漏洞在所有版本的Android軟件中都存在。

研究員們已經(jīng)在多款流行的Android設(shè)備如Google Galaxy Nexus、Google Nexus S、HTC One X、HTC Inspire、小米MI-One和三星Galaxy S3等中測(cè)試了這個(gè)漏洞。

研究員們昨日將一段利用該安全漏洞發(fā)動(dòng)攻擊的視頻上傳到了YouTube上。從視頻內(nèi)容來看，這種短信欺詐漏洞是一種社交引擎技術(shù)，可以利用短信對(duì)目標(biāo)發(fā)動(dòng)攻擊并竊取目標(biāo)的個(gè)人信息如帳號(hào)密碼。這類攻擊通常會(huì)在短信中包含一個(gè)網(wǎng)站網(wǎng)址或連接著一個(gè)自動(dòng)語音回應(yīng)系統(tǒng)的電話號(hào)碼。

這個(gè)漏洞會(huì)導(dǎo)致短信欺詐，因?yàn)楣粽呖梢岳肁ndroid應(yīng)用將惡意短信信息進(jìn)行偽裝，讓短信看起來象是用戶聯(lián)系人中的某位好友發(fā)來的短信息。

研究員們已經(jīng)將這個(gè)漏洞通報(bào)給了谷歌，后者也積極而迅速地給予了回應(yīng)。

研究員們稱：“我們已于2012年10月30日通知了谷歌Android安全團(tuán)隊(duì)，并在10分鐘內(nèi)接到回復(fù)。谷歌Android安全團(tuán)隊(duì)在11月1日即2天后證實(shí)了該漏洞的存在，并且表示會(huì)認(rèn)真對(duì)待這個(gè)問題，他們已經(jīng)對(duì)該漏洞展開調(diào)查。”

據(jù)研究員們稱，谷歌還表示它將在未來的Android升級(jí)中修復(fù)該漏洞。另外，現(xiàn)在還沒有獲悉有用戶因?yàn)樵撀┒词艿街鲃?dòng)攻擊的案例。

研究員們負(fù)責(zé)任地將漏洞信息通知了谷歌，希望這個(gè)漏洞在被惡意組織利用以前就被谷歌修復(fù)。北卡州大學(xué)的研究員們承諾，在谷歌發(fā)布正式補(bǔ)丁之前，他們不會(huì)公開這個(gè)漏洞的詳細(xì)信息。

研究員們建議用戶在下載和安裝應(yīng)用程序時(shí)提高警惕，另外在接到短信息時(shí)也應(yīng)格外注意，不要輕易點(diǎn)擊短信息中的網(wǎng)站鏈接或撥打其中的電話號(hào)碼。

目前還不清楚谷歌何時(shí)能夠?yàn)橛脩籼峁┱窖a(bǔ)丁，由于種種原因，用戶們接受新版本Android系統(tǒng)的速度并不快，因此與這個(gè)漏洞有關(guān)的問題可能要過幾個(gè)月才會(huì)暴露出來。