安卓手機存漏洞 多個主流手機應(yīng)用中招

發(fā)布: 2015-07-08 13:54 | 作者: 李惠 | 來源: 三晉都市報 | 字體:       

    根據(jù)央視報道,一個被研究人員命名為“寄生獸”的安卓系統(tǒng)安全漏洞正影響市面上數(shù)以千萬的安卓手機,包括百度、騰訊等主流廠商的手機App都易受到攻擊。利用該漏洞,攻擊者可以直接在用戶手機中植入木馬,盜取用戶的短信照片等個人隱私,盜取銀行等賬號密碼等。

 

    根據(jù)安全論壇烏云漏洞平臺發(fā)布的信息,目前主要有以下幾種手機應(yīng)用被確認存在漏洞風(fēng)險,包括輸入法類應(yīng)用,如搜狗輸入法、百度輸入法等;手機瀏覽器應(yīng)用,如QQ瀏覽器;還有其他通用App如微信等。

 

    在輸入法類應(yīng)用上,搜狗輸入法,百度輸入法等感染惡意代碼后,攻擊者可以攔截所有用戶輸入。如果用戶通過搜狗輸入法、百度輸入法輸入各類賬號和密碼,包括網(wǎng)銀、手機支付賬號和密碼等,都有可能給黑客所截獲。

 

    在瀏覽器類應(yīng)用上,“寄生獸”漏洞主要通過解壓zip文件進行文件替換,比如通過QQ瀏覽器,攻擊者可將QQ瀏覽器的財付通、微信支付SDK文件替換。只要用戶通過QQ瀏覽器使用財付通或微信支付,黑客都可以輕而易舉地獲取到用戶輸入的賬號和密碼,并神不知鬼不覺地將用戶財付通和微信賬號的錢轉(zhuǎn)走。專家驗證,不僅僅是購物,在任何需要支付的環(huán)節(jié),比如購買小說、購買Q幣、購買游戲豆,該風(fēng)險都可能存在。

 

    微信手機客戶端也存在寄生獸漏洞,微信好友發(fā)送的帶有攻擊代碼的zip會被微信默認使用QQ瀏覽器打開和解壓,這樣可以導(dǎo)致QQ瀏覽器被感染木馬,這樣的攻擊將更容易發(fā)生,進而導(dǎo)致財付通、微信等支付賬號和密碼被獲取。

 

    北京安賽創(chuàng)想安全能力中心主任張傲對媒體表示,目前漏洞細節(jié)還沒有被公布,不過按其公布的視頻推測,安卓程序如果沒有驗證當前進程的文件簽名,或沒有對進程間的內(nèi)存讀寫權(quán)限進行控制,第三方惡意程序就可以通過鏈接庫文件劫持或進程注入、修改wifi數(shù)據(jù)等的方式修改程序行為及通信數(shù)據(jù)。因為是通用型的漏洞,90%以上的應(yīng)用都受影響。不過,如果用戶加強自我防護的意識并作出行動,將不會受到攻擊。

 

    據(jù)了解,有關(guān)部門已經(jīng)第一時間通知了相關(guān)廠商,對此漏洞進行緊急修復(fù)。安全人員呼吁使用手機進行網(wǎng)購時要格外謹慎。


掃碼關(guān)注5G通信官方公眾號,免費領(lǐng)取以下5G精品資料

本周熱點本月熱點

 

  最熱通信招聘

業(yè)界最新資訊

  最新招聘信息