安卓手機爆出新漏洞寄生獸 可直接盜取用戶密碼

作者: czuvcw  2015-07-03 10:20 [查查吧]:uabf.cn

   360手機安全研究團隊vulpecker team近日向補天漏洞響應(yīng)平臺提交了其發(fā)現(xiàn)的安卓app新型通用安全漏洞“寄生獸”,市面上數(shù)以千萬的APP受該漏洞影響,包括百度、騰訊、阿里等眾多廠商的移動產(chǎn)品。

  寄生獸是日本作家?guī)r明均創(chuàng)作的漫畫《寄生獸》中的一種怪物,初始形態(tài)是一種蟲子,會鉆進生物的體內(nèi)并奪取大腦,因人類嚴(yán)重的環(huán)境污染而誕生。vulpecker team以此命名該漏洞,可見此漏洞的危害之大。一旦該漏洞被攻擊者利用,可直接在用戶手機中植入木馬,盜取用戶的短信照片以及銀行、支付寶等賬號密碼等。多名業(yè)內(nèi)人士評價,按照風(fēng)險評估,該漏洞的經(jīng)濟價值難以估量。

  北京安賽創(chuàng)想安全能力中心主任張傲表示,目前漏洞細節(jié)還沒有被公布,不過按其公布的視頻推測,安卓程序如果沒有驗證當(dāng)前進程的文件簽名,或沒有對進程間的內(nèi)存讀寫權(quán)限進行控制,第三方惡意程序就可以通過鏈接庫文件劫持或進程注入、修改wifi數(shù)據(jù)等的方式修改程序行為及通信數(shù)據(jù)。張傲表示,因為是通用型的漏洞,90%以上的應(yīng)用都受影響。不過,如果用戶加強自我防護的意識并作出行動,將不會受到攻擊。

  張傲對用戶提出的建議是,不要接入不安全的公眾wiffi,或通過正規(guī)渠道下載應(yīng)用程序,可以避免遭到損失。而對于開放商,則應(yīng)對程序文件進行簽名驗證,并對網(wǎng)絡(luò)間的交互數(shù)據(jù)進行校驗,可以避免受到攻擊。

  目前補天平臺已經(jīng)將相關(guān)詳情通知給各大安全應(yīng)急響應(yīng)中心,并敦請廠商收到詳情及時自查,如果自家app存在相關(guān)安全問題,需及時修復(fù)。另外,為了獎勵該通用漏洞的白帽子團隊補天平臺向其發(fā)放了1萬元獎金。

       以上就是關(guān)于安卓手機爆出新漏洞寄生獸 可直接盜取用戶密碼的介紹,希望對您有所幫助!

?
    發(fā)表評論

    醫(yī)療健康