近日360手机精灵、豌豆荚、腾讯手机助手等多款安卓(Android)手机管理软件曝出安全漏洞,在公共WiFi环境下,安卓手机用户可能会被处于同一网络的攻击者盗取所有个人隐私信息。金山网络发布橙色安全预警,提醒广大安卓用户尽快升级软件程序修复漏洞。
手机管理软件几乎是智能手机的必备工具,金山网络安全专家李铁军介绍,这类软件大多需要借助FTP服务,但如果技术实现存在漏洞,处于同一网络的攻击者可轻松扫描获得FTP端口号、用户名和密码,继而随意浏览、下载和删改手机中的通讯录、短信、照片、视频等几乎所有隐私信息。
使用公用WiFi可能被入侵
这为众多在办公室、咖啡馆、机场等场所使用公用WiFi的安卓手机用户敲响了警钟。金山安全中心对此进行了专门的技术分析,并发布了研究报告。
分析显示,360手机精灵通过FTP技术来管理手机文件。但FTP用户名、密码是明文未加密且固定不变,也未限制客户端。该漏洞很容易被恶意利用,只要同网络下的任意一台电脑,攻击者无需专业技能,仅通过标准的FTP程序,就可以闯入用户的手机盗取存在手机存储卡上的照片、文件等数据。
豌豆荚存在和360手机精灵的同类的FTP漏洞。
腾讯应用助手没有使用FTP协议,而是采用了私有协议和动态验证码, 漏洞利用较为困难。其风险在于动态验证码的算法强度不够,对于专业的黑客,可以通过逆向技术分析和编写专业工具来进行针对性的定点攻击。
在这三款软件中,由于360手机精灵目前通过360安全卫士捆绑推广,并默认装在手机里开机自启动。因为360安全卫士拥有接近4亿的电脑用户,影响用户面最广。
尽快升级程序修复漏洞
目前,三款软件的最新版本已基本修复了WIFI漏洞, 金山安全中心提醒广大安卓用户尽快升级到最新版本以规避风险。
李铁军表示,手机管理软件确实为广大智能手机用户带来了极大的便利,使得用户可以通过电脑便利地管理手机信息,但是便利性不能以牺牲用户数据安全为代价。
金山网络倡议手机管理软件厂商建立技术交流机制,共同构建手机管理软件的安全技术标准,推动中国移动互联网的健康发展。