安卓手機(jī)存漏洞 多個主流手機(jī)應(yīng)用中招

發(fā)布: 2015-07-08 13:54 | 作者: 李惠 | 來源: 三晉都市報 | 字體:       

    根據(jù)央視報道,一個被研究人員命名為“寄生獸”的安卓系統(tǒng)安全漏洞正影響市面上數(shù)以千萬的安卓手機(jī),包括百度、騰訊等主流廠商的手機(jī)App都易受到攻擊。利用該漏洞,攻擊者可以直接在用戶手機(jī)中植入木馬,盜取用戶的短信照片等個人隱私,盜取銀行等賬號密碼等。

 

    根據(jù)安全論壇烏云漏洞平臺發(fā)布的信息,目前主要有以下幾種手機(jī)應(yīng)用被確認(rèn)存在漏洞風(fēng)險,包括輸入法類應(yīng)用,如搜狗輸入法、百度輸入法等;手機(jī)瀏覽器應(yīng)用,如QQ瀏覽器;還有其他通用App如微信等。

 

    在輸入法類應(yīng)用上,搜狗輸入法,百度輸入法等感染惡意代碼后,攻擊者可以攔截所有用戶輸入。如果用戶通過搜狗輸入法、百度輸入法輸入各類賬號和密碼,包括網(wǎng)銀、手機(jī)支付賬號和密碼等,都有可能給黑客所截獲。

 

    在瀏覽器類應(yīng)用上,“寄生獸”漏洞主要通過解壓zip文件進(jìn)行文件替換,比如通過QQ瀏覽器,攻擊者可將QQ瀏覽器的財付通、微信支付SDK文件替換。只要用戶通過QQ瀏覽器使用財付通或微信支付,黑客都可以輕而易舉地獲取到用戶輸入的賬號和密碼,并神不知鬼不覺地將用戶財付通和微信賬號的錢轉(zhuǎn)走。專家驗證,不僅僅是購物,在任何需要支付的環(huán)節(jié),比如購買小說、購買Q幣、購買游戲豆,該風(fēng)險都可能存在。

 

    微信手機(jī)客戶端也存在寄生獸漏洞,微信好友發(fā)送的帶有攻擊代碼的zip會被微信默認(rèn)使用QQ瀏覽器打開和解壓,這樣可以導(dǎo)致QQ瀏覽器被感染木馬,這樣的攻擊將更容易發(fā)生,進(jìn)而導(dǎo)致財付通、微信等支付賬號和密碼被獲取。

 

    北京安賽創(chuàng)想安全能力中心主任張傲對媒體表示,目前漏洞細(xì)節(jié)還沒有被公布,不過按其公布的視頻推測,安卓程序如果沒有驗證當(dāng)前進(jìn)程的文件簽名,或沒有對進(jìn)程間的內(nèi)存讀寫權(quán)限進(jìn)行控制,第三方惡意程序就可以通過鏈接庫文件劫持或進(jìn)程注入、修改wifi數(shù)據(jù)等的方式修改程序行為及通信數(shù)據(jù)。因為是通用型的漏洞,90%以上的應(yīng)用都受影響。不過,如果用戶加強(qiáng)自我防護(hù)的意識并作出行動,將不會受到攻擊。

 

    據(jù)了解,有關(guān)部門已經(jīng)第一時間通知了相關(guān)廠商,對此漏洞進(jìn)行緊急修復(fù)。安全人員呼吁使用手機(jī)進(jìn)行網(wǎng)購時要格外謹(jǐn)慎。


掃碼關(guān)注5G通信官方公眾號,免費領(lǐng)取以下5G精品資料
  • 1、回復(fù)“YD5GAI”免費領(lǐng)取《中國移動:5G網(wǎng)絡(luò)AI應(yīng)用典型場景技術(shù)解決方案白皮書
  • 2、回復(fù)“5G6G”免費領(lǐng)取《5G_6G毫米波測試技術(shù)白皮書-2022_03-21
  • 3、回復(fù)“YD6G”免費領(lǐng)取《中國移動:6G至簡無線接入網(wǎng)白皮書
  • 4、回復(fù)“LTBPS”免費領(lǐng)取《《中國聯(lián)通5G終端白皮書》
  • 5、回復(fù)“ZGDX”免費領(lǐng)取《中國電信5GNTN技術(shù)白皮書
  • 6、回復(fù)“TXSB”免費領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解
  • 7、回復(fù)“YDSL”免費領(lǐng)取《中國移動算力并網(wǎng)白皮書
  • 8、回復(fù)“5GX3”免費領(lǐng)取《R1623501-g605G的系統(tǒng)架構(gòu)1
    		•

    本周熱點本月熱點

     

      最熱通信招聘

      最新招聘信息