据国外媒体报道,北卡罗来纳州州立大学(NC State University)研究员日前在进行一项有关智能手机的研究项目中发现了一个存在于Android 平台的“短信欺诈”(Smishing)漏洞,据悉,该漏洞可以允许应用在Android平台上进行短信伪装,且在所有版本的Android软件中都存在这一漏洞。
更为可怕的是,这一漏洞可以令恶意应用在不需要用户任何许可的前提下进行攻击。在Android Open Source Project(AOSP)项目中,研究员发现这一漏洞存在于所有的Android系统版本中,其中包括冻酸奶(Froyo 2.2.x), 姜饼(Gingerbread 2.3.x),冰激淋三明治(Ice Cream Sandwich 4.0.x)和果冻豆(Jelly Bean 4.1)。研究员还发现,在对多款流行的Android设备,其中包括谷歌Galaxy Nexus、Nexus S、HTC One X、HTC Inspire、小米MI-One和三星Galaxy S3等机型测试后,这一漏洞已被证实在上述机型中存在。
据悉,北卡罗来纳州州立大学研究员们已经在10月30日将这个漏洞通报给了谷歌安全团队,后者在10分钟内就给予了我们回复。随后,谷歌Android安全团队在2天后证实了该漏洞的存在,并表示会认真对待这个问题,且已经开始对该漏洞展开调查。
研究员透露,谷歌告诉他们“将在未来的Android系统升级中修复这一漏洞。”到目前为止,谷歌尚没有收到有用户因为该漏洞而受到攻击的报告。
为了Android用户的安全考虑,北卡大学研究员们承诺在谷歌发布正式补丁之前,不会公开这个漏洞的具体信息。在此期间,这些研究员们建议用户在下载和安装应用程序时提高警惕,尤其是对于那些来源不明的应用更要多加注意。此外,在接到短信息时,用户也应格外注意不要轻易点击短信息中的网站链接或拨打其中的电话号码,因为攻击者可以利用Android应用将恶意短信进行伪装,让短信看起来象是用户联系人中的某位好友发来的信息。
研究员们日前已将一段利用该安全漏洞发动攻击的视频上传到了YouTube上。目前,我们尚不清楚谷歌什么时候能为用户提供该漏洞的正式补丁。值得一提的是,用户接受新版本Android系统的速度通常较慢,因此该漏洞的有关的问题可能会在几个月后才开始暴露。
