研究：所有版本Android均存在短信欺诈漏洞

11月5日消息，据国外媒体报道，北卡罗来纳州大学（NCSU）的研究员们在Android Open Source Project（AOSP）项目中发现了一个“短信欺诈”（Smishing）漏洞，并且该漏洞在所有版本的Android软件中都存在。

研究员们已经在多款流行的Android设备如Google Galaxy Nexus、Google Nexus S、HTC One X、HTC Inspire、小米MI-One和三星Galaxy S3等中测试了这个漏洞。

研究员们昨日将一段利用该安全漏洞发动攻击的视频上传到了YouTube上。从视频内容来看，这种短信欺诈漏洞是一种社交引擎技术，可以利用短信对目标发动攻击并窃取目标的个人信息如帐号密码。这类攻击通常会在短信中包含一个网站网址或连接着一个自动语音回应系统的电话号码。

这个漏洞会导致短信欺诈，因为攻击者可以利用Android应用将恶意短信信息进行伪装，让短信看起来象是用户联系人中的某位好友发来的短信息。

研究员们已经将这个漏洞通报给了谷歌，后者也积极而迅速地给予了回应。

研究员们称：“我们已于2012年10月30日通知了谷歌Android安全团队，并在10分钟内接到回复。谷歌Android安全团队在11月1日即2天后证实了该漏洞的存在，并且表示会认真对待这个问题，他们已经对该漏洞展开调查。”

据研究员们称，谷歌还表示它将在未来的Android升级中修复该漏洞。另外，现在还没有获悉有用户因为该漏洞受到主动攻击的案例。

研究员们负责任地将漏洞信息通知了谷歌，希望这个漏洞在被恶意组织利用以前就被谷歌修复。北卡州大学的研究员们承诺，在谷歌发布正式补丁之前，他们不会公开这个漏洞的详细信息。

研究员们建议用户在下载和安装应用程序时提高警惕，另外在接到短信息时也应格外注意，不要轻易点击短信息中的网站链接或拨打其中的电话号码。

目前还不清楚谷歌何时能够为用户提供正式补丁，由于种种原因，用户们接受新版本Android系统的速度并不快，因此与这个漏洞有关的问题可能要过几个月才会暴露出来。