谷歌证实Android存在欺诈漏洞:涉及所有版本
2012-11-08 10:35
471 查看
美国北卡罗来纳州州立大学研究员最近发现了一个存在于Android平台的“短信欺诈”(Smishing)漏洞,Android应用可以通过该漏洞对短信进行伪装,实施钓鱼式欺诈攻击。目前该漏洞已获谷歌证实。
NCSU的研究员表示,该漏洞很容易被攻破,可能被大量用来进行“钓鱼”攻击,获取用户信息。更可怕的是,该漏洞可以让欺诈应用在不需要获得用户任何许可的前提下发起攻击。换句话说,这一漏洞可定性为WRITE_SMS功能的泄漏。
另一个可怕的现实是,该漏洞可能存在于当前Android软件的所有版本中,因为该漏洞包含在AndroidOpenSourceProject(AOSP)项目中。NCSU的研究员目前发现包含该漏洞的智能手机有GalaxyNexus、NexusS、HTCOneX、HTCInspire、小米1代和三星GalaxyS3等。这些设备涉及的Android系统版本包括冻酸奶(Froyo2.2.x)、姜饼(Gingerbread2.3.x)、冰激淋三明治(IceCreamSandwich4.0.x)和果冻豆(JellyBean4.1)。
NCSU研究员称已于10月30日将这一漏洞通知了谷歌安全团队,并且和往常一样,他们在10分钟内就得到了答复。11月1日,谷歌Android安全团队向NCSU研究团队证实了该漏洞的存在,并表示已开始认真调查。
NCSU研究员透露,谷歌已表示将在未来的Android系统升级版本中修复这一漏洞。截至目前,谷歌方面还没有收到有用户因为该漏洞而受到攻击的报告。
NCSU研究员表示,出于责任考虑,在谷歌发布正式补丁之前,他们不会公开这个漏洞的具体信息。但研究员们建议,用户在下载和安装应用程序时要提高警惕,尤其是对那些来源不明的应用。
NCSU的研究员们还举例描述了用户该如何规避这一漏洞,譬如在接到短信息时,不要轻易点击短信息中的网站链接或拨打其中的电话号码,因为攻击者可能已经利用该应用将恶意短信进行伪装,让短信看起来像是用户联系人中的某位好友发来的信息。
NCSU的研究员们已将一段利用该安全漏洞发动攻击的展示视频上传到YouTube,目前尚不清楚谷歌何时能为当前Android版本的用户提供漏洞补丁。
NCSU的研究员表示,该漏洞很容易被攻破,可能被大量用来进行“钓鱼”攻击,获取用户信息。更可怕的是,该漏洞可以让欺诈应用在不需要获得用户任何许可的前提下发起攻击。换句话说,这一漏洞可定性为WRITE_SMS功能的泄漏。
另一个可怕的现实是,该漏洞可能存在于当前Android软件的所有版本中,因为该漏洞包含在AndroidOpenSourceProject(AOSP)项目中。NCSU的研究员目前发现包含该漏洞的智能手机有GalaxyNexus、NexusS、HTCOneX、HTCInspire、小米1代和三星GalaxyS3等。这些设备涉及的Android系统版本包括冻酸奶(Froyo2.2.x)、姜饼(Gingerbread2.3.x)、冰激淋三明治(IceCreamSandwich4.0.x)和果冻豆(JellyBean4.1)。
NCSU研究员称已于10月30日将这一漏洞通知了谷歌安全团队,并且和往常一样,他们在10分钟内就得到了答复。11月1日,谷歌Android安全团队向NCSU研究团队证实了该漏洞的存在,并表示已开始认真调查。
NCSU研究员透露,谷歌已表示将在未来的Android系统升级版本中修复这一漏洞。截至目前,谷歌方面还没有收到有用户因为该漏洞而受到攻击的报告。
NCSU研究员表示,出于责任考虑,在谷歌发布正式补丁之前,他们不会公开这个漏洞的具体信息。但研究员们建议,用户在下载和安装应用程序时要提高警惕,尤其是对那些来源不明的应用。
NCSU的研究员们还举例描述了用户该如何规避这一漏洞,譬如在接到短信息时,不要轻易点击短信息中的网站链接或拨打其中的电话号码,因为攻击者可能已经利用该应用将恶意短信进行伪装,让短信看起来像是用户联系人中的某位好友发来的信息。
NCSU的研究员们已将一段利用该安全漏洞发动攻击的展示视频上传到YouTube,目前尚不清楚谷歌何时能为当前Android版本的用户提供漏洞补丁。
相关文章推荐
- 谷歌官方证实所有Android版本存短信欺诈漏洞
- 研究称所有版本Android均存在短信欺诈漏洞
- 微软已推送本月补丁 修复几乎所有Windows版本中存在的网络位置感知服务漏洞
- Android被曝多处安全漏洞 影响所有版本
- Android 4.2版本以下使用WebView组件addJavascriptInterface方法存在JS漏洞
- 微软证实所有版本IE浏览器均存在高危漏洞
- Apache Tomcat 信息泄露漏洞存在于所有版本
- PHPNuke所有版本EnhancedSearch文件存在注入漏洞
- 如何兼容所有Android版本选择照片或拍照然后裁剪图片--基于FileProvider和动态权限的实现
- 研究称Android内核存在漏洞 黑客可窃取电邮
- struts2 最新S2-016-S2-017漏洞通杀struts2所有版本及修复方法
- Android WebView的Js对象注入漏洞解决方案(JSBridge存在的意义)
- 通杀所有系统的硬件漏洞?聊一聊Drammer,Android上的RowHammer攻击
- php5版本年底停更,六成站长网站涉及安全漏洞
- Samba 4.x.x全版本存在命令执行漏洞
- struts2 最新S2-016-S2-017漏洞通杀struts2所有版本
- Firefox最新版本存在内存溢出漏洞或被攻击的可能性
- android所有版本源码下载网站
- 史上最大漏洞危机:影响所有 iPhone、Android、PC 设备,修复困难重重
- SSL/TLS协议漏洞 影响TLS协议1.0及SSL所有版本