谷歌證實Android存在欺詐漏洞：涉及所有版本

新浪科技訊 北京時間11月5日下午消息，美國北卡羅來納州州立大學(以下簡稱NCSU)研究員最近發現了一個存在於Android平台的“短信欺詐”(Smishing)漏洞，Android應用可以通過該漏洞對短信進行裝，實施釣魚式欺詐攻擊。目前該漏洞已獲谷歌證實。

NCSU的研究員表示，該漏洞很容易被攻破，可能被大量用來進行“釣魚”攻擊，獲取用戶信息。更可怕的是，該漏洞可以讓欺詐應用在不需要獲得用戶任何許可的前提下發起攻擊。換句話說，這一漏洞可定性為WRITE_SMS功能的泄漏。

另一個可怕的現實是，該漏洞可能存在於當前Android軟件的所有版本中，因為該漏洞包含在Android Open Source Project(AOSP)項目中。NCSU的研究員目前發現包含該漏洞的智能手機有Galaxy Nexus、Nexus S、HTC One X、HTC Inspire、小米1代和三星Galaxy S3等。這些設備涉及的Android系統版本包括凍酸奶(Froyo 2.2.x)、姜餅(Gingerbread 2.3.x)、冰激淋三明治(Ice Cream Sandwich 4.0.x)和果凍豆(Jelly Bean 4.1)。

NCSU研究員稱已於10月30日將這一漏洞通知了谷歌安全團隊，並且和往常一樣，他們在10分鐘內就得到了答覆。11月1日，谷歌Android安全團隊向NCSU研究團隊證實了該漏洞的存在，並表示已開始認真調查。

NCSU研究員透露，谷歌已表示將在未來的Android系統升級版本中修復這一漏洞。截至目前，谷歌方面還沒有收到有用戶因為該漏洞而受到攻擊的報告。

NCSU研究員表示，出於責任考慮，在谷歌發布正式補丁之前，他們不會公開這個漏洞的具體信息。但研究員們建議，用戶在下載和安裝應用程序時要提高警惕，尤其是對那些來源不明的應用。

NCSU的研究員們還舉例描述了用戶該如何規避這一漏洞，譬如在接到短信息時，不要輕易點擊短信息中的網站連結或撥打其中的電話號碼，因為攻擊者可能已經利用該應用將惡意短信進行裝，讓短信看起來像是用戶聯繫人中的某位好友發來的信息。

NCSU的研究員們已將一段利用該安全漏洞發動攻擊的展示視頻上傳到YouTube，目前尚不清楚谷歌何時能為當前Android版本的用戶提供漏洞補丁。(朱飛)