安卓手機爆出新漏洞寄生獸 可直接盜取用戶密碼

 　　360手機安全研究團隊vulpecker team近日向補天漏洞響應(yīng)平臺提交了其發(fā)現(xiàn)的安卓app新型通用安全漏洞“寄生獸”，市面上數(shù)以千萬的APP受該漏洞影響，包括百度、騰訊、阿里等眾多廠商的移動產(chǎn)品。

　　寄生獸是日本作家?guī)r明均創(chuàng)作的漫畫《寄生獸》中的一種怪物，初始形態(tài)是一種蟲子，會鉆進生物的體內(nèi)并奪取大腦，因人類嚴(yán)重的環(huán)境污染而誕生。vulpecker team以此命名該漏洞，可見此漏洞的危害之大。一旦該漏洞被攻擊者利用，可直接在用戶手機中植入木馬，盜取用戶的短信照片以及銀行、支付寶等賬號密碼等。多名業(yè)內(nèi)人士評價，按照風(fēng)險評估，該漏洞的經(jīng)濟價值難以估量。

　　北京安賽創(chuàng)想安全能力中心主任張傲表示，目前漏洞細節(jié)還沒有被公布，不過按其公布的視頻推測，安卓程序如果沒有驗證當(dāng)前進程的文件簽名，或沒有對進程間的內(nèi)存讀寫權(quán)限進行控制，第三方惡意程序就可以通過鏈接庫文件劫持或進程注入、修改wifi數(shù)據(jù)等的方式修改程序行為及通信數(shù)據(jù)。張傲表示，因為是通用型的漏洞，90%以上的應(yīng)用都受影響。不過，如果用戶加強自我防護的意識并作出行動，將不會受到攻擊。

　　張傲對用戶提出的建議是，不要接入不安全的公眾wiffi，或通過正規(guī)渠道下載應(yīng)用程序，可以避免遭到損失。而對于開放商，則應(yīng)對程序文件進行簽名驗證，并對網(wǎng)絡(luò)間的交互數(shù)據(jù)進行校驗，可以避免受到攻擊。

　　目前補天平臺已經(jīng)將相關(guān)詳情通知給各大安全應(yīng)急響應(yīng)中心，并敦請廠商收到詳情及時自查，如果自家app存在相關(guān)安全問題，需及時修復(fù)。另外，為了獎勵該通用漏洞的白帽子團隊補天平臺向其發(fā)放了1萬元獎金。

       以上就是關(guān)于安卓手機爆出新漏洞寄生獸 可直接盜取用戶密碼的介紹，希望對您有所幫助！