11月5日消息,據(jù)國外媒體報道,北卡羅來納州大學(xué)(NCSU)的研究員們在Android Open Source Project(AOSP)項目中發(fā)現(xiàn)了一個“短信欺詐”(Smishing)漏洞,并且該漏洞在所有版本的Android軟件中都存在。
研究員們已經(jīng)在多款流行的Android設(shè)備如Google Galaxy Nexus、Google Nexus S、HTC One X、HTC Inspire、小米MI-One和三星Galaxy S3等中測試了這個漏洞。
研究員們昨日將一段利用該安全漏洞發(fā)動攻擊的視頻上傳到了YouTube上。從視頻內(nèi)容來看,這種短信欺詐漏洞是一種社交引擎技術(shù),可以利用短信對目標(biāo)發(fā)動攻擊并竊取目標(biāo)的個人信息如帳號密碼。這類攻擊通常會在短信中包含一個網(wǎng)站網(wǎng)址或連接著一個自動語音回應(yīng)系統(tǒng)的電話號碼。
這個漏洞會導(dǎo)致短信欺詐,因為攻擊者可以利用Android應(yīng)用將惡意短信信息進行偽裝,讓短信看起來象是用戶聯(lián)系人中的某位好友發(fā)來的短信息。
研究員們已經(jīng)將這個漏洞通報給了谷歌,后者也積極而迅速地給予了回應(yīng)。
研究員們稱:“我們已于2012年10月30日通知了谷歌Android安全團隊,并在10分鐘內(nèi)接到回復(fù)。谷歌Android安全團隊在11月1日即2天后證實了該漏洞的存在,并且表示會認(rèn)真對待這個問題,他們已經(jīng)對該漏洞展開調(diào)查。”
據(jù)研究員們稱,谷歌還表示它將在未來的Android升級中修復(fù)該漏洞。另外,現(xiàn)在還沒有獲悉有用戶因為該漏洞受到主動攻擊的案例。
研究員們負(fù)責(zé)任地將漏洞信息通知了谷歌,希望這個漏洞在被惡意組織利用以前就被谷歌修復(fù)。北卡州大學(xué)的研究員們承諾,在谷歌發(fā)布正式補丁之前,他們不會公開這個漏洞的詳細信息。
研究員們建議用戶在下載和安裝應(yīng)用程序時提高警惕,另外在接到短信息時也應(yīng)格外注意,不要輕易點擊短信息中的網(wǎng)站鏈接或撥打其中的電話號碼。
目前還不清楚谷歌何時能夠為用戶提供正式補丁,由于種種原因,用戶們接受新版本Android系統(tǒng)的速度并不快,因此與這個漏洞有關(guān)的問題可能要過幾個月才會暴露出來。