安卓被曝“寄生獸”漏洞 超千萬(wàn)APP可能受到影響

原標(biāo)題：安卓被曝“寄生獸”漏洞

京華時(shí)報(bào)訊（記者 古曉宇）昨天記者了解到，360手機(jī)安全研究團(tuán)隊(duì)vulpeckerteam提交了其發(fā)現(xiàn)的安卓APP新型通用安全漏洞“寄生獸”，市面上超過千萬(wàn)個(gè)安卓的APP都可能存在這一漏洞。

360公司安全工程師宋申雷介紹，這一嚴(yán)重的安全漏洞是由兩方面原因造成的：一方面，安卓系統(tǒng)本身就存在沒有對(duì)緩存進(jìn)行強(qiáng)校驗(yàn)的缺陷；另一方面，在這個(gè)缺陷的基礎(chǔ)上，各企業(yè)推出的APP都存在涉及緩存信息安全的漏洞。利用該漏洞，攻擊者可以直接在用戶手機(jī)中植入木馬，盜取用戶的短信照片等個(gè)人隱私，甚至盜取銀行、支付寶等賬號(hào)密碼等。

宋申雷表示，只要是讀取各類壓縮文件的APP都可能會(huì)受到這個(gè)漏洞的影響，粗略估算，市面上有超千萬(wàn)的APP都在此范圍內(nèi)，特別是常用的輸入法類、地圖類、瀏覽器類應(yīng)用都在，也包括百度、騰訊、阿里等眾多廠商的產(chǎn)品，如搜狗輸入法、百度輸入法、UC瀏覽器等。

據(jù)了解，該團(tuán)隊(duì)已經(jīng)向補(bǔ)天漏洞響應(yīng)平臺(tái)提交了這一嚴(yán)重的漏洞，目前補(bǔ)天已經(jīng)將相關(guān)詳情通知給各大安全應(yīng)急響應(yīng)中心，并敦請(qǐng)廠商收到詳情及時(shí)自查修復(fù)。

多名業(yè)內(nèi)人士評(píng)價(jià)，因?yàn)樯婕胺秶薮螅凑诊L(fēng)險(xiǎn)評(píng)估，該漏洞的經(jīng)濟(jì)價(jià)值難以估量。360方面表示，從目前了解到的信息看，已有安全廠商正在對(duì)此漏洞進(jìn)行緊急修復(fù)，部分APP開發(fā)企業(yè)也已聯(lián)系補(bǔ)天漏洞響應(yīng)平臺(tái)，尋求更多該漏洞技術(shù)細(xì)節(jié)。