21ic網友雜談：據(jù)國外媒體報道，北卡羅來納州州立大學(NC State University)研究員日前在進行一項有關智能手機的研究項目中發(fā)現(xiàn)了一個存在于Android 平臺的“短信欺詐”(Smishing)漏洞，據(jù)悉，該漏洞可以允許應用在Android平臺上進行短信偽裝，且在所有版本的Android軟件中都存在這一漏洞。

更為可怕的是，這一漏洞可以令惡意應用在不需要用戶任何許可的前提下進行攻擊。在Android Open Source Project(AOSP)項目中，研究員發(fā)現(xiàn)這一漏洞存在于所有的Android系統(tǒng)版本中，其中包括凍酸奶(Froyo 2.2.x), 姜餅(Gingerbread 2.3.x),冰激淋三明治(Ice Cream Sandwich 4.0.x)和果凍豆(Jelly Bean 4.1)。研究員還發(fā)現(xiàn)，在對多款流行的Android設備，其中包括谷歌(微博)Galaxy Nexus、Nexus S、HTC One X、HTC Inspire、小米MI-One和三星Galaxy S3等機型測試后，這一漏洞已被證實在上述機型中存在。

據(jù)悉，北卡羅來納州州立大學研究員們已經在10月30日將這個漏洞通報給了谷歌安全團隊，后者在10分鐘內就給予了我們回復。隨后，谷歌Android安全團隊在2天后證實了該漏洞的存在，并表示會認真對待這個問題，且已經開始對該漏洞展開調查。

研究員透露，谷歌告訴他們“將在未來的Android系統(tǒng)升級中修復這一漏洞。”到目前為止，谷歌尚沒有收到有用戶因為該漏洞而受到攻擊的報告。

為了Android用戶的安全考慮，北卡大學研究員們承諾在谷歌發(fā)布正式補丁之前，不會公開這個漏洞的具體信息。在此期間，這些研究員們建議用戶在下載和安裝應用程序時提高警惕，尤其是對于那些來源不明的應用更要多加注意。此外，在接到短信息時，用戶也應格外注意不要輕易點擊短信息中的網站鏈接或撥打其中的電話號碼，因為攻擊者可以利用Android應用將惡意短信進行偽裝，讓短信看起來象是用戶聯(lián)系人中的某位好友發(fā)來的信息。

研究員們日前已將一段利用該安全漏洞發(fā)動攻擊的視頻上傳到了YouTube上。目前，我們尚不清楚谷歌什么時候能為用戶提供該漏洞的正式補丁。值得一提的是，用戶接受新版本Android系統(tǒng)的速度通常較慢，因此該漏洞的有關的問題可能會在幾個月后才開始暴露。