北京時間11月4日消息,據外國媒體報道,北卡羅萊納州立大學(NC State University)的研究人員已經發現,谷歌近期所有版本的Android開放源系統中都存在嚴重的SMs phishing(短信詐騙)漏洞,這些系統包括Donut (1.6)、Eclair (2.1)、Froyo (2.2)、Gingerbread (2.3)和Ice Cream Sandwich(4.0)、和Jelly Bean (4.1)等。研究人員已經對多款頗具人氣的Android設備上的漏洞進行了測試,這些設備就包括谷歌的Galaxy Nexus、Nexus S、宏達電的HTC One X和HTC Inspire以及小米MI-One和三星的Galaxy S3智能手機等。
眾所周知,短信詐騙技術就是一種社交工程技術,主要是利用手機文本信息來引誘上當者暴露他們的個人信息,例如用戶帳戶密碼等。這種詐騙主要是通過文本信息中可以連接到自動語音應答系統的網站URL或可以連接到自動語音應答系統的手機號碼等來完成。
這種特別的漏洞可以讓短信詐騙在Android系統中非常容易地展開,因為Android應用能夠偽造一些任意的文本信息,并給用戶造成這樣的一種感覺——用戶收到手機聯系人名單中某人的短信,或者是收到了一家被信任銀行的短信。
目前的一大好消息就是,研究人員已經立即與谷歌公司就此漏洞問題進行了溝通,而且谷歌也在溝通之后立即對此問題作出了積極的回應。對此,北卡羅萊納州大學的研究人員作出如下表述:
“我們已經于2012年10月30日將這些問題通報給谷歌Android安全團隊,與往常一樣,我們也在10分鐘之內得到了他們的回應。2012年11月1日,我們得到了他們的確認信息——的確存在這些漏洞。從他們的回應來看,我們可以獲悉,Android安全工作團隊非常重視這一問題,并展開了及時的調查。
如今這些漏洞已經得到了證實,我們也被告知,未來發布的新版Android將會作出改變。但是,此漏洞被其它各方利用的情況,我們仍是一無所知。”
這一表述的最后一部分也非常關鍵:研究人員對這一漏洞被瘋狂地利用狀況仍不清楚。但無論如何,由于他們非常負責任地向谷歌披露了這些漏洞信息,因此,可以預料的一個積極結果就是,在相關惡意方充分利用這一漏洞之前,谷歌方面可能已經修復好這一問題。
北卡羅萊納州大學的研究人員已經承諾,在谷歌完全修復這一漏洞之前,他們將不會公開此漏洞的詳細信息。與此同時,用戶也可以采取兩種方案來加強自我保護:第一個方案就是在下載和安裝應用時保持警惕(特別是在從那些不知名的渠道下載應用時);第二個方案就是密切關注所收到的文本信息,盡量避免被任何可能的攻擊所欺騙。
谷歌能否快速有效地向其用戶發送補丁,目前仍不清楚。或許,在新版系統出現之前,這一問題仍將持續數月時間。
推薦閱讀
HTCSensationXE采用了鋁合金一體成型的設計,機身突顯著些許的金屬質感,整機三圍比較大,對于男士們來說更加合適一些,其屏幕是一塊4.3英寸的超大觸控屏,分辨率為QHD級別的540x960像素,整體畫面效果十分的炫麗,背>>>詳細閱讀
地址:http://www.sdlzkt.com/a/xie/20121229/112306.html
網友點評
精彩導讀
科技快報
品牌展示