11月5日消息，據(jù)國外媒體報道，北卡羅來納州大學(xué)（NCSU）的研究員們在Android Open Source Project（AOSP）項目中發(fā)現(xiàn)了一個“短信欺詐”（Smishing）漏洞，并且該漏洞在所有版本的Android軟件中都存在。

研究員們已經(jīng)在多款流行的Android設(shè)備如Google Galaxy Nexus、Google Nexus S、HTC One X、HTC Inspire、小米MI-One和三星Galaxy S3等中測試了這個漏洞。

研究員們昨日將一段利用該安全漏洞發(fā)動攻擊的視頻上傳到了YouTube上。從視頻內(nèi)容來看，這種短信欺詐漏洞是一種社交引擎技術(shù)，可以利用短信對目標(biāo)發(fā)動攻擊并竊取目標(biāo)的個人信息如帳號密碼。這類攻擊通常會在短信中包含一個網(wǎng)站網(wǎng)址或連接著一個自動語音回應(yīng)系統(tǒng)的電話號碼。

這個漏洞會導(dǎo)致短信欺詐，因為攻擊者可以利用Android應(yīng)用將惡意短信信息進行偽裝，讓短信看起來象是用戶聯(lián)系人中的某位好友發(fā)來的短信息。

研究員們已經(jīng)將這個漏洞通報給了谷歌，后者也積極而迅速地給予了回應(yīng)。

研究員們稱：“我們已于2012年10月30日通知了谷歌Android安全團隊，并在10分鐘內(nèi)接到回復(fù)。谷歌Android安全團隊在11月1日即2天后證實了該漏洞的存在，并且表示會認(rèn)真對待這個問題，他們已經(jīng)對該漏洞展開調(diào)查。”

據(jù)研究員們稱，谷歌還表示它將在未來的Android升級中修復(fù)該漏洞。另外，現(xiàn)在還沒有獲悉有用戶因為該漏洞受到主動攻擊的案例。

研究員們負(fù)責(zé)任地將漏洞信息通知了谷歌，希望這個漏洞在被惡意組織利用以前就被谷歌修復(fù)。北卡州大學(xué)的研究員們承諾，在谷歌發(fā)布正式補丁之前，他們不會公開這個漏洞的詳細信息。

研究員們建議用戶在下載和安裝應(yīng)用程序時提高警惕，另外在接到短信息時也應(yīng)格外注意，不要輕易點擊短信息中的網(wǎng)站鏈接或撥打其中的電話號碼。

目前還不清楚谷歌何時能夠為用戶提供正式補丁，由于種種原因，用戶們接受新版本Android系統(tǒng)的速度并不快，因此與這個漏洞有關(guān)的問題可能要過幾個月才會暴露出來。