根據(jù)央視報(bào)道,一個(gè)被研究人員命名為“寄生獸”的安卓系統(tǒng)安全漏洞正影響市面上數(shù)以千萬的安卓手機(jī),包括百度、騰訊等主流廠商的手機(jī)App都易受到攻擊。利用該漏洞,攻擊者可以直接在用戶手機(jī)中植入木馬,盜取用戶的短信照片等個(gè)人隱私,盜取銀行等賬號密碼等。
根據(jù)安全論壇烏云漏洞平臺發(fā)布的信息,目前主要有以下幾種手機(jī)應(yīng)用被確認(rèn)存在漏洞風(fēng)險(xiǎn),包括輸入法類應(yīng)用,如搜狗輸入法、百度輸入法等;手機(jī)瀏覽器應(yīng)用,如QQ瀏覽器;還有其他通用App如微信等。
在輸入法類應(yīng)用上,搜狗輸入法,百度輸入法等感染惡意代碼后,攻擊者可以攔截所有用戶輸入。如果用戶通過搜狗輸入法、百度輸入法輸入各類賬號和密碼,包括網(wǎng)銀、手機(jī)支付賬號和密碼等,都有可能給黑客所截獲。
在瀏覽器類應(yīng)用上,“寄生獸”漏洞主要通過解壓zip文件進(jìn)行文件替換,比如通過QQ瀏覽器,攻擊者可將QQ瀏覽器的財(cái)付通、微信支付SDK文件替換。只要用戶通過QQ瀏覽器使用財(cái)付通或微信支付,黑客都可以輕而易舉地獲取到用戶輸入的賬號和密碼,并神不知鬼不覺地將用戶財(cái)付通和微信賬號的錢轉(zhuǎn)走。專家驗(yàn)證,不僅僅是購物,在任何需要支付的環(huán)節(jié),比如購買小說、購買Q幣、購買游戲豆,該風(fēng)險(xiǎn)都可能存在。
微信手機(jī)客戶端也存在寄生獸漏洞,微信好友發(fā)送的帶有攻擊代碼的zip會(huì)被微信默認(rèn)使用QQ瀏覽器打開和解壓,這樣可以導(dǎo)致QQ瀏覽器被感染木馬,這樣的攻擊將更容易發(fā)生,進(jìn)而導(dǎo)致財(cái)付通、微信等支付賬號和密碼被獲取。
北京安賽創(chuàng)想安全能力中心主任張傲對媒體表示,目前漏洞細(xì)節(jié)還沒有被公布,不過按其公布的視頻推測,安卓程序如果沒有驗(yàn)證當(dāng)前進(jìn)程的文件簽名,或沒有對進(jìn)程間的內(nèi)存讀寫權(quán)限進(jìn)行控制,第三方惡意程序就可以通過鏈接庫文件劫持或進(jìn)程注入、修改wifi數(shù)據(jù)等的方式修改程序行為及通信數(shù)據(jù)。因?yàn)槭峭ㄓ眯偷穆┒矗?/span>90%以上的應(yīng)用都受影響。不過,如果用戶加強(qiáng)自我防護(hù)的意識并作出行動(dòng),將不會(huì)受到攻擊。
據(jù)了解,有關(guān)部門已經(jīng)第一時(shí)間通知了相關(guān)廠商,對此漏洞進(jìn)行緊急修復(fù)。安全人員呼吁使用手機(jī)進(jìn)行網(wǎng)購時(shí)要格外謹(jǐn)慎。