安卓手機存漏洞 多個主流手機應用中招

根據央視報導，一個被研究人員命名為“寄生獸”的安卓系統安全漏洞正影響市面上數以千萬的安卓手機，包括百度、騰訊等主流廠商的手機App都易受到攻擊。利用該漏洞，攻擊者可以直接在用戶手機中植入木馬，盜取用戶的短信照片等個人隱私，盜取銀行等賬號密碼等。

根據安全論壇烏雲漏洞平台發布的信息，目前主要有以下幾種手機應用被確認存在漏洞風險，包括輸入法類應用，如搜狗輸入法、百度輸入法等；手機瀏覽器應用，如QQ瀏覽器；還有其他通用App如微信等。

在輸入法類應用上，搜狗輸入法，百度輸入法等感染惡意代碼后，攻擊者可以攔截所有用戶輸入。如果用戶通過搜狗輸入法、百度輸入法輸入各類賬號和密碼，包括網銀、手機支付賬號和密碼等，都有可能給黑客所截獲。

在瀏覽器類應用上，“寄生獸”漏洞主要通過解壓zip檔案進行檔案替換，比如通過QQ瀏覽器，攻擊者可將QQ瀏覽器的財付通、微信支付SDK檔案替換。只要用戶通過QQ瀏覽器使用財付通或微信支付，黑客都可以輕而易舉地獲取到用戶輸入的賬號和密碼，並神不知鬼不覺地將用戶財付通和微信賬號的錢轉走。專家驗證，不僅僅是購物，在任何需要支付的環節，比如購買小、購買Q幣、購買游戲豆，該風險都可能存在。

微信手機客戶端也存在寄生獸漏洞，微信好友發送的帶有攻擊代碼的zip會被微信預設使用QQ瀏覽器打開和解壓，這樣可以導致QQ瀏覽器被感染木馬，這樣的攻擊將更容易發生，進而導致財付通、微信等支付賬號和密碼被獲取。

北京安賽創想安全能力中心主任張傲對媒體表示，目前漏洞細節還沒有被公佈，不過按其公佈的視頻推測，安卓程序如果沒有驗證當前進程的檔案簽名，或沒有對進程間的內存讀寫權限進行控制，第三方惡意程序就可以通過連結庫檔案劫持或進程注入、修改wifi數據等的方式修改程序行為及通信數據。因為是通用型的漏洞，90%以上的應用都受影響。不過，如果用戶加強自我防護的意識並作出行動，將不會受到攻擊。

據了解，有關部門已經第一時間通知了相關廠商，對此漏洞進行緊急修復。安全人員呼籲使用手機進行網購時要格外謹慎。

李惠