昨天記者了解到,360手機安全研究團隊vulpeckerteam提交了其發(fā)現(xiàn)的安卓APP新型通用安全漏洞“寄生獸”���,市面上超過千萬個安卓的APP都可能存在這一漏洞���。
360公司安全工程師宋申雷介紹���,這一嚴重的安全漏洞是由兩方面原因造成的:一方面,安卓系統(tǒng)本身就存在沒有對緩存進行強校驗的缺陷�����;另一方面,在這個缺陷的基礎(chǔ)上�����,各企業(yè)推出的APP都存在涉及緩存信息安全的漏洞��。利用該漏洞���,攻擊者可以直接在用戶手機中植入木馬��,盜取用戶的短信照片等個人隱私���,甚至盜取銀行、支付寶等賬號密碼等�����。
宋申雷表示�,只要是讀取各類壓縮文件的APP都可能會受到這個漏洞的影響,粗略估算�,市面上有超千萬的APP都在此范圍內(nèi),特別是常用的輸入法類����、地圖類�、瀏覽器類應(yīng)用都在�,也包括百度、騰訊����、阿里等眾多廠商的產(chǎn)品,如搜狗輸入法�����、百度輸入法��、UC瀏覽器等��。
據(jù)了解����,該團隊已經(jīng)向補天漏洞響應(yīng)平臺提交了這一嚴重的漏洞��,目前補天已經(jīng)將相關(guān)詳情通知給各大安全應(yīng)急響應(yīng)中心���,并敦請廠商收到詳情及時自查修復(fù)�。
多名業(yè)內(nèi)人士評價�����,因為涉及范圍巨大,按照風(fēng)險評估�����,該漏洞的經(jīng)濟價值難以估量���。360方面表示��,從目前了解到的信息看��,已有安全廠商正在對此漏洞進行緊急修復(fù)���,部分APP開發(fā)企業(yè)也已聯(lián)系補天漏洞響應(yīng)平臺,尋求更多該漏洞技術(shù)細節(jié)�。 (記者古曉宇)
