昨天記者了解到����,360手機安全研究團隊vulpeckerteam提交了其發現的安卓APP新型通用安全漏洞“寄生獸”����,市面上超過千萬個安卓的APP都可能存在這一漏洞。
360公司安全工程師宋申雷介紹����,這一嚴重的安全漏洞是由兩方面原因造成的:一方面����,安卓系統本身就存在沒有對緩存進行強校驗的缺陷����;另一方面����,在這個缺陷的基礎上,各企業推出的APP都存在涉及緩存信息安全的漏洞����。利用該漏洞����,攻擊者可以直接在用戶手機中植入木馬����,盜取用戶的短信照片等個人隱私,甚至盜取銀行����、支付寶等賬號密碼等����。
宋申雷表示����,只要是讀取各類壓縮文件的APP都可能會受到這個漏洞的影響,粗略估算����,市面上有超千萬的APP都在此范圍內����,特別是常用的輸入法類����、地圖類、瀏覽器類應用都在����,也包括百度����、騰訊����、阿里等眾多廠商的產品,如搜狗輸入法����、百度輸入法����、UC瀏覽器等����。
據了解,該團隊已經向補天漏洞響應平臺提交了這一嚴重的漏洞����,目前補天已經將相關詳情通知給各大安全應急響應中心����,并敦請廠商收到詳情及時自查修復����。
多名業內人士評價����,因為涉及范圍巨大,按照風險評估,該漏洞的經濟價值難以估量����。360方面表示����,從目前了解到的信息看����,已有安全廠商正在對此漏洞進行緊急修復,部分APP開發企業也已聯系補天漏洞響應平臺,尋求更多該漏洞技術細節����。 (記者古曉宇)
