近日,央視報道指出90%的APP上存在一個名為“寄生獸”的安卓系統漏洞,該安全漏洞可導致APP被注入隱藏的手機木馬病毒。報道中,一用戶在無意間掃描朋友發來的二維碼后發現支付寶上的余額消失。安全專家表示,該用戶余額被盜是因為其掃描的二維碼實際上是木馬病毒安裝包下載鏈接,掃碼后木馬病毒被注入到存在“寄生獸”漏洞的APP中。當用戶使用存在漏洞的APP時,木馬病毒同時運行,盜取該APP上存入的用戶賬號信息及密碼致使用戶財產損失。此消息一出就引起廣大安卓手機用戶關注,手機網絡安全專家也一再提醒,安卓用戶應該盡快卸載被曝光涉及“寄生獸”漏洞的APP,以保護手機內資金賬戶的安全,避免造成經濟損失。
與日本作家巖明均在《寄生獸》中描述的情況相同,“寄生獸”漏洞通過插件的形式植入APP內,隨著用戶打開各種應用,漏洞直接獲取用戶的信息、照片、支付寶密碼等個人信息,嚴重危害用戶財產安全。
“寄生獸”系統漏洞曝出后,有多家媒體、第三方評測團隊對國內三大手機瀏覽器QQ、百度、UC進行了針對該漏洞的測試,而測試結果顯示百度手機瀏覽器無“寄生獸”漏洞是最安全的手機瀏覽器。
測試方式即在三個手機瀏覽器上分別下載并解壓未命名zip文件。QQ手機瀏覽器在下載并壓縮zip文件時,并沒有對zip文件中的文件名做安全性校驗,zip文件可以被精心構造成可替換財付通支付SDK的文件名,截獲用戶財付通、微信等支付賬號的賬號與密碼,危險系數極高;百度手機瀏覽器在下載前對zip文件進行簽名檢測,有效防止寄生獸漏洞被利用和由此引發的攻擊,毫無全漏洞問題;而UC手機瀏覽器在近日央視報道中直接被曝出存在安全漏洞,讓木馬病毒趁機注入用戶手機中,盜取用戶網銀、支付寶等賬號密碼信息,從而盜刷用戶賬戶上的資金,安全系數也有待提高。
手機安全專家提醒,安卓手機用戶應選擇使用百度手機瀏覽器等這類毫無漏洞的手機瀏覽器,在近期使用手機時也盡量不要掃描未知二維碼,同時在打開陌生網址鏈接和網購時均要保持警惕。
(新聞稿 2015-07-09)