新浪科技訊 香港時間11月6日下午消息,美國北卡羅來納州州立大學(以下簡稱NCSU)研究員最近發現了一個存在於Android平台的“短信欺詐”(Smishing)漏洞,Android應用可以通過該漏洞對短信進行偽裝,實施釣魚式欺詐攻擊。目前該漏洞已獲 Google 証實。
NCSU的研究員表示,該漏洞很容易被攻破,可能被大量用來進行“釣魚”攻擊,獲取用戶信息。更可怕的是,該漏洞可以讓欺詐應用在不需要獲得用戶任何許可的前提下發起攻擊。換句話說,這一漏洞可定性為WRITE_SMS功能的洩漏。
另一個可怕的現實是,該漏洞可能存在於當前Android軟件的所有版本中,因為該漏洞包含在Android Open Source Project(AOSP)項目中。NCSU的研究員目前發現包含該漏洞的智能手機有Galaxy Nexus、Nexus S、HTC One X、HTC Inspire、小米1代和 Samsung Galaxy S3等。這些設備涉及的Android系統版本包括凍酸奶(Froyo 2.2.x)、薑餅(Gingerbread 2.3.x)、冰激淋三明治(Ice Cream Sandwich 4.0.x)和果凍豆(Jelly Bean 4.1)。
NCSU研究員稱已於10月30日將這一漏洞通知了 Google 安全團隊,並且和往常一樣,他們在10分鐘內就得到了答複。11月1日, Google Android安全團隊向NCSU研究團隊証實了該漏洞的存在,並表示已開始認真調查。
NCSU研究員透露, Google 已表示將在未來的Android系統升級版本中修複這一漏洞。截至目前, Google 方面還沒有收到有用戶因為該漏洞而受到攻擊的報告。
NCSU研究員表示,出於責任考慮,在 Google 發佈正式補丁之前,他們不會公開這個漏洞的具體信息。但研究員們建議,用戶在下載和安裝應用程式時要提高警惕,尤其是對那些來源不明的應用。
NCSU的研究員們還舉例描述了用戶該如何規避這一漏洞,譬如在接到短信息時,不要輕易點擊短信息中的網站鏈接或撥打其中的電話號碼,因為攻擊者可能已經利用該應用將惡意短信進行偽裝,讓短信看起來像是用戶聯繫人中的某位好友發來的信息。
NCSU的研究員們已將一段利用該安全漏洞發動攻擊的展示視頻上傳到YouTube,目前尚不清楚 Google 何時能為當前Android版本的用戶提供漏洞補丁。(朱飛)
.[手機]研究稱所有版本Android 均存在短信欺詐漏洞
http://hk8news-e.blogspot.com/2012/11/android.html
