据外国科技博客The Next Web报道,北卡罗来纳州立大学(NC State University)的科研人员在Android开源项目( Android Open Source Project :AOSP )上发现了一处短信诈骗漏洞,涉及谷歌几乎所有的Android版本,包括Donut (1.6)、Eclair (2.1)、Froyo (2.2)、Gingerbread (2.3)和Ice Cream Sandwich(4.0)、和Jelly Bean (4.1)等等。
研究人员已对多款时下流行的Android设备上的安全漏洞进行了测试,包括谷歌的Galaxy Nexus、Nexus S、HTC的HTC One X和HTC Inspire,以及小米的MI-One和三星的Galaxy S3等一系列基于Android系统的智能手机。
短信诈骗是一种社交工程技术,其主要以手机短信为诱饵,引诱受害者泄露个人信息,比如用户账号密码等。这种诈骗通常在短信中嵌入一个网站地址,或者一个可以连接到自动语音应答系统电话号码来完成对用户欺诈。
这一特殊的漏洞可以让短信诈骗在Android系统中快速传播,因为Android应用可以任意伪造一些文本信息、并迷惑用户,使它们看起来的确是来自地址薄中某一联系人的短信,或者是收到一家受信任银行的短信。令人感到欣慰的是,北卡州立大学的研究人员已与谷歌取得了联系,而谷歌迅速作出积极回应,且对此予以承认。
北卡州立大学的科研人员称,“我们在2012年10月30日将这些问题通报给谷歌Android安全团队,一如平常,我们也在10分钟之内得到了安全团队的回应。2012年11月1日,也就是在两天后,我们得到了谷歌Android安全团队确认信息——的确存在这些漏洞。从他们的反应来看,我们可以推断Android安全工作团队非常重视这一问题,并及时展开相关调查。”
该漏洞已得到证实,而且我们也被告知,未来发布的新版Android将会对此进行修改。但目前尚不得知该漏洞被黑客利用状况。”
北卡州立大学科研人员上述言论中最后一部分也至关重要:科研人员尚不得知这一漏洞是否被疯狂利用。既然他们负责任地向谷歌通报了这些漏洞,可以预见,他们希望谷歌能够在黑客肆意利用该漏洞前能够尽快修复这一问题。
北卡州立大学科研人员已经承诺,直至谷歌修复这一漏洞,否则他们将不会公开这一漏洞详细信息。在此期间,用户也要从两方面进行自我保护,首先是在下载和安装应用时应多加谨慎(尤其是未知来源的应用),其次密切关注所收到的文本短信,尽量避免接受可能的钓鱼式攻击。
目前尚不清楚谷歌是否能够迅速和有效地向用户发送一款补丁。分析人士认为,鉴于Android用户采用新系统速度非常缓慢,当然这有多方面原因,并非用户过错。因此预计在这一问题仍将持续几个月的时间。
