北京时间11月5日消息,据国外媒体报道,谷歌证实几乎所有Android版本中都存在一个短信钓鱼(smishing)欺诈漏洞,并承诺会在下一个Android版本中修复这个漏洞。
最先发现这个漏洞的是北卡罗来纳州立大学的研究人员。他们近日注意到Android开源项目(AOSP)存在这个欺诈漏洞,这使得包括1.6、2.1、2.3、4.0和4.1版本等几乎所有Android系统均受到影响。研究人员还在多台热门Android设备上测试了该漏洞,包括谷歌Galaxy Nexus、Nexus S、HTC One X、HTC Inspire、小米 M1和三星Galaxy S3等。
短信欺诈是一种社会工程学技术,它利用手机短信引诱用户透露密码等个人信息。诱饵一般是短信中的网站地址,或是连接自动语音答录系统的电话号码。
这种特定漏洞使得Android应用可以捏造任意的短信,使其看起来像是从用户电话簿中的某人或信赖的银行处发送过来的,从而进行短信诈骗。研究人员发现漏洞后及时和谷歌取得联系,目前谷歌正在积极地跟进事态发展。现在谷歌已经证实了这个漏洞的存在,并承诺在下一版本的Android中进行修复。截至目前,还没有因为该漏洞而遭受攻击的报告。
北卡罗来纳州立大学的研究人员目前承诺,在最终修补方案出来之前,不会透露该漏洞的具体细节。专家表示,在此期间用户要保护自身的信息安全。首先要谨慎下载和安装应用,其次是密切关注收到的短信,避免被网络钓鱼攻击。
现在还不清楚谷歌何时会向用户发送补丁。由于多方面的原因,Android用户在升级新版本方面速度缓慢,这个问题可能会持续数月,甚至数年之久。
