一場從美國掀起的短信欺詐漏洞風(fēng)暴,正在中國大陸愈刮愈烈,并因其染毒樣本量和感染量等指標迅速成為今年安卓世界的頭號安全事件。11月14日深夜,360手機衛(wèi)士官方微博宣布,又發(fā)現(xiàn)一個全新的安卓系統(tǒng)短信欺詐漏洞。利用該漏洞,木馬和惡意軟件無需申請任何權(quán)限,就能任意偽造發(fā)送欺詐短信。該漏洞存在于大部分非原生安卓系統(tǒng)和第三方短信、通訊錄軟件中。對此,360手機衛(wèi)士發(fā)布了橙色安全預(yù)警,并推出能有效封堵該漏洞的獨立系統(tǒng)補丁,建議安卓用戶盡快下載。
據(jù)360手機安全工程師透露,利用該漏洞,惡意軟件可以偽裝成不需要申請任何權(quán)限的“干凈”應(yīng)用潛伏在用戶手機上,伺機偽造欺詐短信。不少知名的第三方短信、通訊錄軟件,甚至包括HTC等知名手機廠商預(yù)制的大部分非原生安卓系統(tǒng)都存在該漏洞,影響十分廣泛。針對此漏洞,360手機衛(wèi)士已在全球范圍內(nèi)首發(fā)獨立系統(tǒng)補丁,實現(xiàn)不依賴任何安全軟件的情況下,均可封堵此漏洞。不過,谷歌官方的原生系統(tǒng)因已經(jīng)有對應(yīng)的安全機制,所以并不受此漏洞的影響。
就在不久前,谷歌官方剛剛確認了幾乎所有安卓系統(tǒng)版本都存在一個短信欺詐漏洞,可導(dǎo)致黑客可通過第三方安卓應(yīng)用偽造短信內(nèi)容。作為國內(nèi)最大的移動互聯(lián)網(wǎng)安全廠商,360手機衛(wèi)士同樣率先在全球范圍內(nèi)首發(fā)了獨立系統(tǒng)補丁,并率先截獲了超過500個利用該漏洞的病毒樣本,實際感染量已超過120萬人次。有業(yè)內(nèi)人士預(yù)計,這有可能將會成為新的垃圾短信傳播渠道。
據(jù)悉,在發(fā)布預(yù)警前,360方面已書面通知受影響的手機軟件廠商,并給出了詳細的漏洞描述報告,以幫助他們盡快修復(fù)該漏洞,避免危害進一步擴大。360安全專家建議,在以上存在漏洞的軟件和系統(tǒng)修復(fù)漏洞前,安卓用戶應(yīng)盡快給自己的手機打上系統(tǒng)補丁,并安裝360手機衛(wèi)士等手機安全軟件進行病毒查殺,以降低潛在的安全風(fēng)險。
附1:360針對安卓短信欺詐漏洞發(fā)布的獨立系統(tǒng)補丁地址:
http://msoftdl.360.cn/mobilesafe/shouji360/360safesis/SmsCheatPatch.apk
附2:360手機衛(wèi)士新版下載地址:http://shouji.360.cn