近日,三星“大当家”GalaxyS4手机被曝存在一个高危短信欺诈漏洞,恶意软件能够利用漏洞发送扣费短信,并在手机收件箱中伪造任意内容的短信、彩信,使受害者处于面临被欺诈和恶意扣费的风险。目前,最先发现该漏洞的360手机卫士已经通知三星官方,并已发布新版提供临时安全解决方案以封堵漏洞,建议三星S4用户尽快下载更新,并警惕手机中出现的莫名未读短信。
据了解,此次短信欺诈漏洞由S4手机自带的“云备份”组件导致,由于该系统组件不会对数据发送者的身份进行验证,这也使恶意软件在没有短信存取等权限的情况下为所欲为。
之所以该漏洞引起广泛关注,是因为其作恶于无声,而且迷惑性极强。恶意软件可通过该漏洞伪造任意来源号码(身份)和内容的短信,比如可以伪装成银行等金融机构发送“修改密码”短信,并以未读短信的形态出现。如果只凭电话号码进行判断,用户很难分辨发送者的真实身份,上当受骗的几率大大增加。
据悉,这并非三星手机第一次被曝光漏洞。2012年底,三星手机就曾出现过Root权限漏洞,包括S3和note2等旗舰机型皆未能幸免。而近半年,三星手机市场地位进一步提升,出货量较此前也有明显增长,这也意味着一旦出现漏洞就很可能对大量用户造成影响。
鉴于目前三星尚未发布官方修复补丁,360手机安全专家建议用户下载安装新版360手机卫士手动修复,关闭有问题的三星“云备份”组件,封堵漏洞。同时也能防止利用该漏洞的恶意软件伪造或发送诈骗短信。待官方补丁发布后,再重新开启该三星“云备份”功能。