美國(guó)北卡羅來(lái)納州州立大學(xué)研究員最近發(fā)現(xiàn)了一個(gè)存在于Android平臺(tái)的“短信欺詐”(Smishing)漏洞，Android應(yīng)用可以通過(guò)該漏洞對(duì)短信進(jìn)行偽裝，實(shí)施釣魚(yú)式欺詐攻擊。目前該漏洞已獲谷歌證實(shí)。

NCSU的研究員表示，該漏洞很容易被攻破，可能被大量用來(lái)進(jìn)行“釣魚(yú)”攻擊，獲取用戶信息。更可怕的是，該漏洞可以讓欺詐應(yīng)用在不需要獲得用戶任何許可的前提下發(fā)起攻擊。換句話說(shuō)，這一漏洞可定性為WRITE_SMS功能的泄漏。

另一個(gè)可怕的現(xiàn)實(shí)是，該漏洞可能存在于當(dāng)前Android軟件的所有版本中，因?yàn)樵撀┒窗贏ndroid Open Source Project(AOSP)項(xiàng)目中。NCSU的研究員目前發(fā)現(xiàn)包含該漏洞的智能手機(jī)有Galaxy Nexus、Nexus S、HTC One X、HTC Inspire、小米1代和三星Galaxy S3等。這些設(shè)備涉及的Android系統(tǒng)版本包括凍酸奶(Froyo 2.2.x)、姜餅(Gingerbread 2.3.x)、冰激淋三明治(Ice Cream Sandwich 4.0.x)和果凍豆(Jelly Bean 4.1)。

NCSU研究員稱已于10月30日將這一漏洞通知了谷歌安全團(tuán)隊(duì)，并且和往常一樣，他們?cè)?0分鐘內(nèi)就得到了答復(fù)。11月1日，谷歌Android安全團(tuán)隊(duì)向NCSU研究團(tuán)隊(duì)證實(shí)了該漏洞的存在，并表示已開(kāi)始認(rèn)真調(diào)查。

NCSU研究員透露，谷歌已表示將在未來(lái)的Android系統(tǒng)升級(jí)版本中修復(fù)這一漏洞。截至目前，谷歌方面還沒(méi)有收到有用戶因?yàn)樵撀┒炊艿焦舻膱?bào)告。

NCSU研究員表示，出于責(zé)任考慮，在谷歌發(fā)布正式補(bǔ)丁之前，他們不會(huì)公開(kāi)這個(gè)漏洞的具體信息。但研究員們建議，用戶在下載和安裝應(yīng)用程序時(shí)要提高警惕，尤其是對(duì)那些來(lái)源不明的應(yīng)用。

NCSU的研究員們還舉例描述了用戶該如何規(guī)避這一漏洞，譬如在接到短信息時(shí)，不要輕易點(diǎn)擊短信息中的網(wǎng)站鏈接或撥打其中的電話號(hào)碼，因?yàn)楣粽呖赡芤呀?jīng)利用該應(yīng)用將惡意短信進(jìn)行偽裝，讓短信看起來(lái)像是用戶聯(lián)系人中的某位好友發(fā)來(lái)的信息。

NCSU的研究員們已將一段利用該安全漏洞發(fā)動(dòng)攻擊的展示視頻上傳到Y(jié)ouTube，目前尚不清楚谷歌何時(shí)能為當(dāng)前Android版本的用戶提供漏洞補(bǔ)丁。