北京時間11月5日消息,據國外媒體報道,谷歌證實幾乎所有Android版本中都存在一個短信釣魚(smishing)欺詐漏洞,并承諾會在下一個Android版本中修復這個漏洞。
最先發現這個漏洞的是北卡羅來納州立大學的研究人員。他們近日注意到Android開源項目(AOSP)存在這個欺詐漏洞,這使得包括1.6、2.1、2.3、4.0和4.1版本等幾乎所有Android系統均受到影響。研究人員還在多臺熱門Android設備上測試了該漏洞,包括谷歌Galaxy Nexus、Nexus S、HTC One X、HTC Inspire、小米 M1和三星Galaxy S3等。
短信欺詐是一種社會工程學技術,它利用手機短信引誘用戶透露密碼等個人信息。誘餌一般是短信中的網站地址,或是連接自動語音答錄系統的電話號碼。
這種特定漏洞使得Android應用可以捏造任意的短信,使其看起來像是從用戶電話簿中的某人或信賴的銀行處發送過來的,從而進行短信詐騙。研究人員發現漏洞后及時和谷歌取得聯系,目前谷歌正在積極地跟進事態發展。現在谷歌已經證實了這個漏洞的存在,并承諾在下一版本的Android中進行修復。截至目前,還沒有因為該漏洞而遭受攻擊的報告。
北卡羅來納州立大學的研究人員目前承諾,在最終修補方案出來之前,不會透露該漏洞的具體細節。專家表示,在此期間用戶要保護自身的信息安全。首先要謹慎下載和安裝應用,其次是密切關注收到的短信,避免被網絡釣魚攻擊。
現在還不清楚谷歌何時會向用戶發送補丁。由于多方面的原因,Android用戶在升級新版本方面速度緩慢,這個問題可能會持續數月,甚至數年之久。
