一场从美国掀起的短信欺诈漏洞风暴,正在中国大陆愈刮愈烈,并因其染毒样本量和感染量等指标迅速成为今年安卓世界的头号安全事件。11月14日深夜,360手机卫士官方微博宣布,又发现一个全新的安卓系统短信欺诈漏洞。利用该漏洞,木马和恶意软件无需申请任何权限,就能任意伪造发送欺诈短信。该漏洞存在于大部分非原生安卓系统和第三方短信、通讯录软件中。对此,360手机卫士发布了橙色安全预警,并推出能有效封堵该漏洞的独立系统补丁,建议安卓用户尽快下载。
据360手机安全工程师透露,利用该漏洞,恶意软件可以伪装成不需要申请任何权限的“干净”应用潜伏在用户手机上,伺机伪造欺诈短信。不少知名的第三方短信、通讯录软件,甚至包括HTC等知名手机厂商预制的大部分非原生安卓系统都存在该漏洞,影响十分广泛。针对此漏洞,360手机卫士已在全球范围内首发独立系统补丁,实现不依赖任何安全软件的情况下,均可封堵此漏洞。不过,谷歌官方的原生系统因已经有对应的安全机制,所以并不受此漏洞的影响。
就在不久前,谷歌官方刚刚确认了几乎所有安卓系统版本都存在一个短信欺诈漏洞,可导致黑客可通过第三方安卓应用伪造短信内容。作为国内最大的移动互联网安全厂商,360手机卫士同样率先在全球范围内首发了独立系统补丁,并率先截获了超过500个利用该漏洞的病毒样本,实际感染量已超过120万人次。有业内人士预计,这有可能将会成为新的垃圾短信传播渠道。
据悉,在发布预警前,360方面已书面通知受影响的手机软件厂商,并给出了详细的漏洞描述报告,以帮助他们尽快修复该漏洞,避免危害进一步扩大。360安全专家建议,在以上存在漏洞的软件和系统修复漏洞前,安卓用户应尽快给自己的手机打上系统补丁,并安装360手机卫士等手机安全软件进行病毒查杀,以降低潜在的安全风险。
附1:360针对安卓短信欺诈漏洞发布的独立系统补丁地址:
http://msoftdl.360.cn/mobilesafe/shouji360/360safesis/SmsCheatPatch.apk
附2:360手机卫士新版下载地址:http://shouji.360.cn