來源:http://tech.cn.yahoo.com/ypen/20121105/1409010.html
11月5日消息,據國外媒體報道,北卡羅來納州大學(NCSU)的研究員們在Android Open Source Project(AOSP)項目中發現了一個“短信欺詐”(Smishing)漏洞,並且該漏洞在所有版本的Android軟件中都存在。
研究員們已經在多款流行的Android設備如Google Galaxy Nexus、Google Nexus S、HTC One X、HTC Inspire、小米MI-One和三星Galaxy S3等中測試了這個漏洞。
研究員們昨日將一段利用該安全漏洞發動攻擊的視頻上傳到了YouTube上。從視頻內容來看,這種短信欺詐漏洞是一種社交引擎技術,可以利用短信對 目標發動攻擊並竊取目標的個人信息如帳號密碼。這類攻擊通常會在短信中包含一個網站網址或連接着一個自動語音迴應系統的電話號碼。
這個漏洞會導致短信欺詐,因爲攻擊者可以利用Android應用將惡意短信信息進行僞裝,讓短信看起來象是用戶聯繫人中的某位好友發來的短信息。
研究員們已經將這個漏洞通報給了谷歌,後者也積極而迅速地給予了迴應。
研究員們稱:“我們已於2012年10月30日通知了谷歌Android安全團隊,並在10分鐘內接到回覆。谷歌Android安全團隊在11月1日即2天后證實了該漏洞的存在,並且表示會認真對待這個問題,他們已經對該漏洞展開調查。”
據研究員們稱,谷歌還表示它將在未來的Android升級中修復該漏洞。另外,現在還沒有獲悉有用戶因爲該漏洞受到主動攻擊的案例。
研究員們負責任地將漏洞信息通知了谷歌,希望這個漏洞在被惡意組織利用以前就被谷歌修復。北卡州大學的研究員們承諾,在谷歌發佈正式補丁之前,他們不會公開這個漏洞的詳細信息。
研究員們建議用戶在下載和安裝應用程序時提高警惕,另外在接到短信息時也應格外注意,不要輕易點擊短信息中的網站鏈接或撥打其中的電話號碼。
目前還不清楚谷歌何時能夠爲用戶提供正式補丁,由於種種原因,用戶們接受新版本Android系統的速度並不快,因此與這個漏洞有關的問題可能要過幾個月纔會暴露出來。