據國外媒體報道,基于美國北卡羅來納州州立大學(以下稱NCSU)最近發現的Android平臺“短信欺詐”(Smishing)漏洞,谷歌已確認該漏洞的存在。據悉,Android應用可以通過該漏洞對短信進行偽裝,在用戶毫不知情的情況下實施釣魚式欺詐攻擊。騰訊手機管家在通過認真分析驗證之后,快速響應升級,已迅速推出了Android騰訊手機管家V3.88最新版,對“短信欺詐”漏洞進行了修復;同時推出了“短信欺詐專殺工具”,可針對Android系統“短信欺詐”漏洞進行有效全面查殺。
據騰訊移動安全實驗室技術專家介紹,從google1.6 ~ 4.1固件版本,都存在這一漏洞。通過這一漏洞,開發者可以在不需要任何授權的情況下,完成短信寫入,從而可以制造欺詐短信,以引導用戶點擊惡意鏈接并造成損失。
對于該漏洞, NCSU的研究員提供了相應的輔助解決方案:在接到短信息時,不要輕易點擊短信息中的網站鏈接或撥打其中的電話號碼,因為攻擊者可能已經利用該應用將惡意短信進行偽裝,讓短信看起來像是用戶聯系人中的某位好友發來的信息。
圖:在飛行模式下模擬測該漏洞發送欺詐短信
相關安全專家模擬了利用該“短信欺詐”漏洞進行的測試,甚至在飛行模式下也可以偽裝發送短信。
對于用戶該如何規避這一漏洞,目前谷歌還沒有提供修復補丁。但騰訊手機管家已率先推出了針對Android“短信欺詐”的漏洞的雙重解決方案。用戶可從騰訊手機管家官方網站(http://msm。qq。com/)下載Android騰訊手機管家V3.88最新版和“短信欺詐”病毒專殺工具進行修復應對。
對于已經獲取Root權限的手機用戶,可安裝Android騰訊手機管家V3.88最新版,該版已經對“短信欺詐”漏洞進行了修復,通過“權限監控”功能可以監控到病毒或惡意軟件對“短信欺詐”漏洞的權限調用,并有效阻止病毒或惡意軟件利用該漏洞向用戶發送欺詐短信。
圖:騰訊手機管家“短信欺詐”專殺工具
未獲取root權限的Android手機用戶,可直接安裝使用騰訊手機管家推出的“短信欺詐”病毒專殺工具,對手機進行靜態掃描與安全檢測。一旦發現系統有利用該漏洞進行釣魚式欺詐攻擊的病毒或惡意軟件,該專殺工具可進行有效識別攔截,并支持一鍵查殺。
騰訊移動安全實驗室相關專家提醒用戶,在下載和安裝來源不明的應用程序時應提高警惕,最好選擇騰訊手機管家PC版等具有正版安全認證的軟件下載平臺進行軟件下載,避免山寨軟件利用Android系統“短信欺詐”漏洞入侵用戶手機。手機用戶應及早下載騰訊手機管家V3.88新版和“短信欺詐”病毒專殺工具,有效應對并封堵由該漏洞發起的釣魚欺詐攻擊。