北卡羅來納州州立大學研究員日前在進行一項有關智能手機的研究項目中發現瞭一個存在於Android 平臺的“短信欺詐”漏洞,據悉,該漏洞可以允許應用在Android平臺上進行短信偽裝,且在所有版本的Android軟件中都存在這一漏洞。
更為可怕的是,這一漏洞可以令惡意應用在不需要用戶任何許可的前提下進行攻擊。在Android Open Source Project項目中,研究員發現這一漏洞存在於所有的Android系統版本中,其中包括凍酸奶(Froyo 2.2.x), 薑餅(Gingerbread 2.3.x),冰激淋三明治(Ice Cream Sandwich 4.0.x)和果凍豆(Jelly Bean 4.1)。研究員還發現,在對多款流行的Android設備,其中包括谷歌(微博)Galaxy Nexus、Nexus S、HTC One X、HTC Inspire、小米MI-One和三星Galaxy S3等機型測試後,這一漏洞已被證實在上述機型中存在。
據悉,北卡羅來納州州立大學研究員們已經在10月30日將這個漏洞通報給瞭谷歌安全團隊,後者在10分鐘內就給予瞭我們回復。隨後,谷歌Android安全團隊在2天後證實瞭該漏洞的存在,並表示會認真對待這個問題,且已經開始對該漏洞展開調查。
研究員透露,谷歌告訴他們“將在未來的Android系統升級中修復這一漏洞。”到目前為止,谷歌尚沒有收到有用戶因為該漏洞而受到攻擊的報告。
為瞭Android用戶的安全考慮,北卡大學研究員們承諾在谷歌發佈正式補丁之前,不會公開這個漏洞的具體信息。在此期間,這些研究員們建議用戶在下載和安裝應用程序時提高警惕,尤其是對於那些來源不明的應用更要多加註意。此外,在接到短信息時,用戶也應格外註意不要輕易點擊短信息中的網站鏈接或撥打其中的電話號碼,因為攻擊者可以利用Android應用將惡意短信進行偽裝,讓短信看起來象是用戶聯系人中的某位好友發來的信息。
研究員們日前已將一段利用該安全漏洞發動攻擊的視頻上傳到瞭YouTube上。目前,我們尚不清楚谷歌什麼時候能為用戶提供該漏洞的正式補丁。值得一提的是,用戶接受新版本Android系統的速度通常較慢,因此該漏洞的有關的問題可能會在幾個月後才開始暴露。
Orignal From: 谷歌證實所有安卓版均存短信欺詐漏洞
留言列表
