北京時(shí)間11月5日消息,據(jù)國外媒體報(bào)道,谷歌證實(shí)幾乎所有Android版本中都存在一個(gè)短信釣魚(smishing)欺詐漏洞,并承諾會(huì)在下一個(gè)Android版本中修復(fù)這個(gè)漏洞。
最先發(fā)現(xiàn)這個(gè)漏洞的是北卡羅來納州立大學(xué)的研究人員。他們近日注意到Android開源項(xiàng)目(AOSP)存在這個(gè)欺詐漏洞,這使得包括1.6、2.1、2.3、4.0和4.1版本等幾乎所有Android系統(tǒng)均受到影響。研究人員還在多臺(tái)熱門Android設(shè)備上測試了該漏洞,包括谷歌Galaxy Nexus、Nexus S、HTC One X、HTC Inspire、小米 M1和三星Galaxy S3等。
短信欺詐是一種社會(huì)工程學(xué)技術(shù),它利用手機(jī)短信引誘用戶透露密碼等個(gè)人信息。誘餌一般是短信中的網(wǎng)站地址,或是連接自動(dòng)語音答錄系統(tǒng)的電話號(hào)碼。
這種特定漏洞使得Android應(yīng)用可以捏造任意的短信,使其看起來像是從用戶電話簿中的某人或信賴的銀行處發(fā)送過來的,從而進(jìn)行短信詐騙。研究人員發(fā)現(xiàn)漏洞后及時(shí)和谷歌取得聯(lián)系,目前谷歌正在積極地跟進(jìn)事態(tài)發(fā)展?,F(xiàn)在谷歌已經(jīng)證實(shí)了這個(gè)漏洞的存在,并承諾在下一版本的Android中進(jìn)行修復(fù)。截至目前,還沒有因?yàn)樵撀┒炊馐芄舻膱?bào)告。
北卡羅來納州立大學(xué)的研究人員目前承諾,在最終修補(bǔ)方案出來之前,不會(huì)透露該漏洞的具體細(xì)節(jié)。專家表示,在此期間用戶要保護(hù)自身的信息安全。首先要謹(jǐn)慎下載和安裝應(yīng)用,其次是密切關(guān)注收到的短信,避免被網(wǎng)絡(luò)釣魚攻擊。
現(xiàn)在還不清楚谷歌何時(shí)會(huì)向用戶發(fā)送補(bǔ)丁。由于多方面的原因,Android用戶在升級(jí)新版本方面速度緩慢,這個(gè)問題可能會(huì)持續(xù)數(shù)月,甚至數(shù)年之久。