安卓版微信QQ曝掛馬漏洞

本報訊(記者 張倩怡)奇虎360昨日發布風險警示，近期，微信等多款安卓流行應用曝出高危“掛馬漏洞”：只要點擊好友消息或朋友圈中的一條網址，手機就會自動執行黑客指令，出現被安裝惡意扣費軟件、向好友發送欺詐短信、通訊錄和短信被竊取等嚴重后果。包括安卓版微信、QQ、騰訊微博、QQ瀏覽器、快播、百度瀏覽器、金山瀏覽器等大批應用均被曝光同類型漏洞。

掛馬漏洞的法源於“掛馬攻擊”。掛馬攻擊是指攻擊者在獲取網站控制權之后，通過篡改網站的網頁內容，在頁面中嵌入惡意代碼。360安全中心監測到掛馬漏洞信息后，第一時間進行了分析，發現此類漏洞是由於微信等應用開發者錯誤使用了安卓系統WebView開發介面引發的。此前，谷歌公司在安卓開發者文檔中已明確指出，“WebView中的該介面會引發嚴重的安全問題。請盡量不要使用這個介面，除非你能保證WebView中加載的內容都是你自己編寫的。”國內多家應用開發者則忽略了這項安全規範，導致此次手機掛馬漏洞大規模爆發。

根據漏洞攻擊途徑分析，此次手機掛馬漏洞主要影響聊天應用和手機瀏覽器。在微信等聊天應用中，只要點擊公賬號或好友發來的惡意網址消息就會中招，用戶應避免點擊陌生可疑連結。