據(jù)國外媒體報(bào)道,基于美國北卡羅來納州州立大學(xué)(以下稱NCSU)最近發(fā)現(xiàn)的Android平臺(tái)“短信欺詐”(Smishing)漏洞,谷歌已確認(rèn)該漏洞的存在。據(jù)悉,Android應(yīng)用可以通過該漏洞對(duì)短信進(jìn)行偽裝,在用戶毫不知情的情況下實(shí)施釣魚式欺詐攻擊。騰訊手機(jī)管家在通過認(rèn)真分析驗(yàn)證之后,快速響應(yīng)升級(jí),已迅速推出了Android騰訊手機(jī)管家V3.88最新版,對(duì)“短信欺詐”漏洞進(jìn)行了修復(fù);同時(shí)推出了“短信欺詐專殺工具”,可針對(duì)Android系統(tǒng)“短信欺詐”漏洞進(jìn)行有效全面查殺。
據(jù)騰訊移動(dòng)安全實(shí)驗(yàn)室技術(shù)專家介紹,從google1.6 ~ 4.1固件版本,都存在這一漏洞。通過這一漏洞,開發(fā)者可以在不需要任何授權(quán)的情況下,完成短信寫入,從而可以制造欺詐短信,以引導(dǎo)用戶點(diǎn)擊惡意鏈接并造成損失。
對(duì)于該漏洞, NCSU的研究員提供了相應(yīng)的輔助解決方案:在接到短信息時(shí),不要輕易點(diǎn)擊短信息中的網(wǎng)站鏈接或撥打其中的電話號(hào)碼,因?yàn)楣粽呖赡芤呀?jīng)利用該應(yīng)用將惡意短信進(jìn)行偽裝,讓短信看起來像是用戶聯(lián)系人中的某位好友發(fā)來的信息。
圖:在飛行模式下模擬測(cè)該漏洞發(fā)送欺詐短信
相關(guān)安全專家模擬了利用該“短信欺詐”漏洞進(jìn)行的測(cè)試,甚至在飛行模式下也可以偽裝發(fā)送短信。
對(duì)于用戶該如何規(guī)避這一漏洞,目前谷歌還沒有提供修復(fù)補(bǔ)丁。但騰訊手機(jī)管家已率先推出了針對(duì)Android“短信欺詐”的漏洞的雙重解決方案。用戶可從騰訊手機(jī)管家官方網(wǎng)站(http://msm。qq。com/)下載Android騰訊手機(jī)管家V3.88最新版和“短信欺詐”病毒專殺工具進(jìn)行修復(fù)應(yīng)對(duì)。
對(duì)于已經(jīng)獲取Root權(quán)限的手機(jī)用戶,可安裝Android騰訊手機(jī)管家V3.88最新版,該版已經(jīng)對(duì)“短信欺詐”漏洞進(jìn)行了修復(fù),通過“權(quán)限監(jiān)控”功能可以監(jiān)控到病毒或惡意軟件對(duì)“短信欺詐”漏洞的權(quán)限調(diào)用,并有效阻止病毒或惡意軟件利用該漏洞向用戶發(fā)送欺詐短信。
圖:騰訊手機(jī)管家“短信欺詐”專殺工具
未獲取root權(quán)限的Android手機(jī)用戶,可直接安裝使用騰訊手機(jī)管家推出的“短信欺詐”病毒專殺工具,對(duì)手機(jī)進(jìn)行靜態(tài)掃描與安全檢測(cè)。一旦發(fā)現(xiàn)系統(tǒng)有利用該漏洞進(jìn)行釣魚式欺詐攻擊的病毒或惡意軟件,該專殺工具可進(jìn)行有效識(shí)別攔截,并支持一鍵查殺。
騰訊移動(dòng)安全實(shí)驗(yàn)室相關(guān)專家提醒用戶,在下載和安裝來源不明的應(yīng)用程序時(shí)應(yīng)提高警惕,最好選擇騰訊手機(jī)管家PC版等具有正版安全認(rèn)證的軟件下載平臺(tái)進(jìn)行軟件下載,避免山寨軟件利用Android系統(tǒng)“短信欺詐”漏洞入侵用戶手機(jī)。手機(jī)用戶應(yīng)及早下載騰訊手機(jī)管家V3.88新版和“短信欺詐”病毒專殺工具,有效應(yīng)對(duì)并封堵由該漏洞發(fā)起的釣魚欺詐攻擊。
