谷歌證實Android存在欺詐漏洞：涉及所有版本

美國北卡羅來納州州立大學研究員最近發(fā)現了一個存在于Android平臺的“短信欺詐”(Smishing)漏洞，Android應用可以通過該漏洞對短信進行偽裝，實施釣魚式欺詐攻擊。目前該漏洞已獲谷歌證實。

NCSU的研究員表示，該漏洞很容易被攻破，可能被大量用來進行“釣魚”攻擊，獲取用戶信息。更可怕的是，該漏洞可以讓欺詐應用在不需要獲得用戶任何許可的前提下發(fā)起攻擊。換句話說，這一漏洞可定性為WRITE_SMS功能的泄漏。

另一個可怕的現實是，該漏洞可能存在于當前Android軟件的所有版本中，因為該漏洞包含在Android Open Source Project(AOSP)項目中。NCSU的研究員目前發(fā)現包含該漏洞的智能手機有Galaxy Nexus、Nexus S、HTC One X、HTC Inspire、小米1代和三星Galaxy S3等。這些設備涉及的Android系統(tǒng)版本包括凍酸奶(Froyo 2.2.x)、姜餅(Gingerbread 2.3.x)、冰激淋三明治(Ice Cream Sandwich 4.0.x)和果凍豆(Jelly Bean 4.1)。

NCSU研究員稱已于10月30日將這一漏洞通知了谷歌安全團隊，并且和往常一樣，他們在10分鐘內就得到了答復。11月1日，谷歌Android安全團隊向NCSU研究團隊證實了該漏洞的存在，并表示已開始認真調查。

NCSU研究員透露，谷歌已表示將在未來的Android系統(tǒng)升級版本中修復這一漏洞。截至目前，谷歌方面還沒有收到有用戶因為該漏洞而受到攻擊的報告。

NCSU研究員表示，出于責任考慮，在谷歌發(fā)布正式補丁之前，他們不會公開這個漏洞的具體信息。但研究員們建議，用戶在下載和安裝應用程序時要提高警惕，尤其是對那些來源不明的應用。

NCSU的研究員們還舉例描述了用戶該如何規(guī)避這一漏洞，譬如在接到短信息時，不要輕易點擊短信息中的網站鏈接或撥打其中的電話號碼，因為攻擊者可能已經利用該應用將惡意短信進行偽裝，讓短信看起來像是用戶聯系人中的某位好友發(fā)來的信息。

NCSU的研究員們已將一段利用該安全漏洞發(fā)動攻擊的展示視頻上傳到YouTube，目前尚不清楚谷歌何時能為當前Android版本的用戶提供漏洞補丁。