谷歌證實(shí)Android存漏洞 承諾下一版修復(fù)

北京時(shí)間11月5日消息，據(jù)國(guó)外媒體報(bào)道，谷歌證實(shí)幾乎所有Android版本中都存在一個(gè)短信釣魚（smishing）欺詐漏洞，并承諾會(huì)在下一個(gè)Android版本中修復(fù)這個(gè)漏洞。

最先發(fā)現(xiàn)這個(gè)漏洞的是北卡羅來(lái)納州立大學(xué)的研究人員。他們近日注意到Android開源項(xiàng)目（AOSP）存在這個(gè)欺詐漏洞，這使得包括1.6、2.1、2.3、4.0和4.1版本等幾乎所有Android系統(tǒng)均受到影響。研究人員還在多臺(tái)熱門Android設(shè)備上測(cè)試了該漏洞，包括谷歌Galaxy Nexus、Nexus S、HTC One X、HTC Inspire、小米 M1和三星Galaxy S3等。

短信欺詐是一種社會(huì)工程學(xué)技術(shù)，它利用手機(jī)短信引誘用戶透露密碼等個(gè)人信息。誘餌一般是短信中的網(wǎng)站地址，或是連接自動(dòng)語(yǔ)音答錄系統(tǒng)的電話號(hào)碼。

這種特定漏洞使得Android應(yīng)用可以捏造任意的短信，使其看起來(lái)像是從用戶電話簿中的某人或信賴的銀行處發(fā)送過來(lái)的，從而進(jìn)行短信詐騙。研究人員發(fā)現(xiàn)漏洞后及時(shí)和谷歌取得聯(lián)系，目前谷歌正在積極地跟進(jìn)事態(tài)發(fā)展?，F(xiàn)在谷歌已經(jīng)證實(shí)了這個(gè)漏洞的存在，并承諾在下一版本的Android中進(jìn)行修復(fù)。截至目前，還沒有因?yàn)樵撀┒炊馐芄舻膱?bào)告。

北卡羅來(lái)納州立大學(xué)的研究人員目前承諾，在最終修補(bǔ)方案出來(lái)之前，不會(huì)透露該漏洞的具體細(xì)節(jié)。專家表示，在此期間用戶要保護(hù)自身的信息安全。首先要謹(jǐn)慎下載和安裝應(yīng)用，其次是密切關(guān)注收到的短信，避免被網(wǎng)絡(luò)釣魚攻擊。

現(xiàn)在還不清楚谷歌何時(shí)會(huì)向用戶發(fā)送補(bǔ)丁。由于多方面的原因，Android用戶在升級(jí)新版本方面速度緩慢，這個(gè)問題可能會(huì)持續(xù)數(shù)月，甚至數(shù)年之久。