近日,三星“大當家”GalaxyS4手機被曝存在一個高危短信欺詐漏洞,惡意軟件能夠利用漏洞發(fā)送扣費短信,并在手機收件箱中偽造任意內容的短信、彩信,使受害者處于面臨被欺詐和惡意扣費的風險。目前,最先發(fā)現該漏洞的360手機衛(wèi)士已經通知三星官方,并已發(fā)布新版提供臨時安全解決方案以封堵漏洞,建議三星S4用戶盡快下載更新,并警惕手機中出現的莫名未讀短信。
據了解,此次短信欺詐漏洞由S4手機自帶的“云備份”組件導致,由于該系統(tǒng)組件不會對數據發(fā)送者的身份進行驗證,這也使惡意軟件在沒有短信存取等權限的情況下為所欲為。
之所以該漏洞引起廣泛關注,是因為其作惡于無聲,而且迷惑性極強。惡意軟件可通過該漏洞偽造任意來源號碼(身份)和內容的短信,比如可以偽裝成銀行等金融機構發(fā)送“修改密碼”短信,并以未讀短信的形態(tài)出現。如果只憑電話號碼進行判斷,用戶很難分辨發(fā)送者的真實身份,上當受騙的幾率大大增加。
據悉,這并非三星手機第一次被曝光漏洞。2012年底,三星手機就曾出現過Root權限漏洞,包括S3和note2等旗艦機型皆未能幸免。而近半年,三星手機市場地位進一步提升,出貨量較此前也有明顯增長,這也意味著一旦出現漏洞就很可能對大量用戶造成影響。
鑒于目前三星尚未發(fā)布官方修復補丁,360手機安全專家建議用戶下載安裝新版360手機衛(wèi)士手動修復,關閉有問題的三星“云備份”組件,封堵漏洞。同時也能防止利用該漏洞的惡意軟件偽造或發(fā)送詐騙短信。待官方補丁發(fā)布后,再重新開啟該三星“云備份”功能。
