研究者发现近期所有版本Android存在严重漏洞
据外国媒体报道,北卡罗莱纳州立大学(NCStateUniversity)的研究人员已经发现,谷歌近期所有版本的Android开放源系统中都存在严重的SMsphishing(短信诈骗)漏洞,这些系统包括Donut (1.6)、Eclair (2.1)、Froyo (2.2)、Gingerbread (2.3)和Ice Cream Sandwich(4.0)、和Jelly Bean (4.1)等。研究人员已经对多款颇具人气的Android设备上的漏洞进行了测试,这些设备就包括谷歌的Galaxy Nexus、Nexus S、宏达电的HTC One X和HTC Inspire以及小米MI-One和三星的Galaxy S3智能手机等。
众所周知,短信诈骗技术就是一种社交工程技术,主要是利用手机文本信息来引诱上当者暴露他们的个人信息,例如用户帐户密码等。这种诈骗主要是通过文本信息中可以连接到自动语音应答系统的网站URL或可以连接到自动语音应答系统的手机号码等来完成。
这种特别的漏洞可以让短信诈骗在Android系统中非常容易地展开,因为Android应用能够伪造一些任意的文本信息,并给用户造成这样的一种感觉——用户收到手机联系人名单中某人的短信,或者是收到了一家被信任银行的短信。
目前的一大好消息就是,研究人员已经立即与谷歌公司就此漏洞问题进行了沟通,而且谷歌也在沟通之后立即对此问题作出了积极的回应。对此,北卡罗莱纳州大学的研究人员作出如下表述:
“我们已经于2012年10月30日将这些问题通报给谷歌Android安全团队,与往常一样,我们也在10分钟之内得到了他们的回应。2012年11月1日,我们得到了他们的确认信息——的确存在这些漏洞。从他们的回应来看,我们可以获悉,Android安全工作团队非常重视这一问题,并展开了及时的调查。
如今这些漏洞已经得到了证实,我们也被告知,未来发布的新版Android将会作出改变。但是,此漏洞被其它各方利用的情况,我们仍是一无所知。”
这一表述的最后一部分也非常关键:研究人员对这一漏洞被疯狂地利用状况仍不清楚。但无论如何,由于他们非常负责任地向谷歌披露了这些漏洞信息,因此,可以预料的一个积极结果就是,在相关恶意方充分利用这一漏洞之前,谷歌方面可能已经修复好这一问题。
北卡罗莱纳州大学的研究人员已经承诺,在谷歌完全修复这一漏洞之前,他们将不会公开此漏洞的详细信息。与此同时,用户也可以采取两种方案来加强自我保护:第一个方案就是在下载和安装应用时保持警惕(特别是在从那些不知名的渠道下载应用时);第二个方案就是密切关注所收到的文本信息,尽量避免被任何可能的攻击所欺骗。
谷歌能否快速有效地向其用户发送补丁,目前仍不清楚。或许,在新版系统出现之前,这一问题仍将持续数月时间。
(责任编辑:admin)- “扫一扫”关注融合网微信号
免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。
第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。
根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。
第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。
个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。
融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net
对免责声明的解释、修改及更新权均属于融合网所有。