当前位置 :| 深万弱电>学院>网络安全>

发现近期所有版本Android存在严重漏洞

时间:2012-11-05

北卡罗莱纳州立大学(NC State University)的研究人员已经发现,谷歌近期所有版本的Android开放源系统中都存在严重的 SMs phishing(短信诈骗)漏洞,这些系统包括Donut (1.6)、Eclair (2.1)、Froyo (2.2)、 Gingerbread (2.3)和Ice Cream Sandwich(4.0)、和Jelly Bean (4.1)等。研究人员已经对多款颇具人气的Android设备上的漏洞进行了测试,这些设备就包括谷歌的Galaxy Nexus、Nexus S、宏达电的HTC One X和 HTC Inspire以及小米MI-One和三星的Galaxy S3智能手机等。

众所周知,短信诈骗技术就是一种社交工程技术,主要是利用手机文本信息来引诱上当者暴露他们的个人信息,例如用户帐户密码等。这种诈骗主要是通过文本信息中可以连接到自动语音应答系统的网站URL或可以连接到自动语音应答系统的手机号码等来完成。

这种特别的漏洞可以让短信诈骗在Android系统中非常容易地展开,因为Android应用能够伪造一些任意的文本信息,并给用户造成这样的一种感觉——用户收到手机联系人名单中某人的短信,或者是收到了一家被信任银行的短信。

目前的一大好消息就是,研究人员已经立即与谷歌公司就此漏洞问题进行了沟通,而且谷歌也在沟通之后立即对此问题作出了积极的回应。对此,北卡罗莱纳州大学的研究人员作出如下表述:

“我们已经于2012年10月30日将这些问题通报给谷歌Android安全团队,与往常一样,我们也在10分钟之内得到了他们的回应。2012年11月1日,我们得到了他们的确认信息——的确存在这些漏洞。从他们的回应来看,我们可以获悉,Android安全工作团队非常重视这一问题,并展开了及时的调查。

如今这些漏洞已经得到了证实,我们也被告知,未来发布的新版Android将会作出改变。但是,此漏洞被其它各方利用的情况,我们仍是一无所知。”

这一表述的最后一部分也非常关键:研究人员对这一漏洞被疯狂地利用状况仍不清楚。但无论如何,由于他们非常负责任地向谷歌披露了这些漏洞信息,因此,可以预料的一个积极结果就是,在相关恶意方充分利用这一漏洞之前,谷歌方面可能已经修复好这一问题。

北卡罗莱纳州大学的研究人员已经承诺,在谷歌完全修复这一漏洞之前,他们将不会公开此漏洞的详细信息。与此同时,用户也可以采取两种方案来加强自我保护:第一个方案就是在下载和安装应用时保持警惕(特别是在从那些不知名的渠道下载应用时);第二个方案就是密切关注所收到的文本信息,尽量避免被任何可能的攻击所欺骗。

谷歌能否快速有效地向其用户发送补丁,目前仍不清楚。或许,在新版系统出现之前,这一问题仍将持续数月时间。