谷歌證實所有Android版本均存短信欺詐漏洞

21ic網(wǎng)友雜談：據(jù)國外媒體報道，北卡羅來納州州立大學(NC State University)研究員日前在進行一項有關智能手機的研究項目中發(fā)現(xiàn)了一個存在于Android 平臺的“短信欺詐”(Smishing)漏洞，據(jù)悉，該漏洞可以允許應用在Android平臺上進行短信偽裝，且在所有版本的Android軟件中都存在這一漏洞。

更為可怕的是，這一漏洞可以令惡意應用在不需要用戶任何許可的前提下進行攻擊。在Android Open Source Project(AOSP)項目中，研究員發(fā)現(xiàn)這一漏洞存在于所有的Android系統(tǒng)版本中，其中包括凍酸奶(Froyo 2.2.x), 姜餅(Gingerbread 2.3.x),冰激淋三明治(Ice Cream Sandwich 4.0.x)和果凍豆(Jelly Bean 4.1)。研究員還發(fā)現(xiàn)，在對多款流行的Android設備，其中包括谷歌(微博)Galaxy Nexus、Nexus S、HTC One X、HTC Inspire、小米MI-One和三星Galaxy S3等機型測試后，這一漏洞已被證實在上述機型中存在。

據(jù)悉，北卡羅來納州州立大學研究員們已經(jīng)在10月30日將這個漏洞通報給了谷歌安全團隊，后者在10分鐘內(nèi)就給予了我們回復。隨后，谷歌Android安全團隊在2天后證實了該漏洞的存在，并表示會認真對待這個問題，且已經(jīng)開始對該漏洞展開調(diào)查。

研究員透露，谷歌告訴他們“將在未來的Android系統(tǒng)升級中修復這一漏洞。”到目前為止，谷歌尚沒有收到有用戶因為該漏洞而受到攻擊的報告。

為了Android用戶的安全考慮，北卡大學研究員們承諾在谷歌發(fā)布正式補丁之前，不會公開這個漏洞的具體信息。在此期間，這些研究員們建議用戶在下載和安裝應用程序時提高警惕，尤其是對于那些來源不明的應用更要多加注意。此外，在接到短信息時，用戶也應格外注意不要輕易點擊短信息中的網(wǎng)站鏈接或撥打其中的電話號碼，因為攻擊者可以利用Android應用將惡意短信進行偽裝，讓短信看起來象是用戶聯(lián)系人中的某位好友發(fā)來的信息。

研究員們?nèi)涨耙褜⒁欢卫迷摪踩┒窗l(fā)動攻擊的視頻上傳到了YouTube上。目前，我們尚不清楚谷歌什么時候能為用戶提供該漏洞的正式補丁。值得一提的是，用戶接受新版本Android系統(tǒng)的速度通常較慢，因此該漏洞的有關的問題可能會在幾個月后才開始暴露。