| 12月20日消息,近日360手機精靈、豌豆莢等多款安卓(Android)手機管理軟件曝出安全漏洞,在公共WiFi環境下,安卓手機用戶可能會被處于同一網絡的攻擊者盜取所有個人隱私信息。金山網絡發布橙色安全預警,提醒廣大安卓用戶盡快升級軟件程序修復漏洞。
手機管理軟件幾乎是智能手機的必備工具,金山網絡安全專家李鐵軍(微博)介紹,這類軟件大多需要借助FTP服務,但如果技術實現存在漏洞,處于同一網絡的攻擊者可輕松掃描獲得FTP端口號、用戶名和密碼,繼而隨意瀏覽、下載和刪改手機中的通訊錄、短信、照片、視頻等幾乎所有隱私信息。
使用公用WiFi可能被入侵
這為眾多在辦公室、咖啡館、機場等場所使用公用WiFi的安卓手機用戶敲響了警鐘。金山安全中心對此進行了專門的技術分析,并發布了研究報告。
分析顯示,360手機精靈通過FTP技術來管理手機文件。但FTP用戶名、密碼是明文未加密且固定不變,也未限制客戶端。該漏洞很容易被惡意利用,只要同網絡下的任意一臺電腦,攻擊者無需專業技能,僅通過標準的FTP程序,就可以闖入用戶的手機盜取存在手機存儲卡上的照片、文件等數據。
豌豆莢存在和360手機精靈的同類的FTP漏洞
騰訊應用助手沒有使用FTP協議,而是采用了私有協議和動態驗證碼,漏洞利用較為困難。其風險在于動態驗證碼的算法強度不夠,對于專業的黑客,可以通過逆向技術分析和編寫專業工具來進行針對性的定點攻擊。
在這三款軟件中,由于360手機精靈目前通過360安全衛士捆綁推廣,并默認裝在手機里開機自啟動。因為360安全衛士擁有接近4億的電腦用戶,影響用戶面最廣。
盡快升級程序修復漏洞
目前,三款軟件的最新版本已基本修復了WIFI漏洞, 金山安全中心提醒廣大安卓用戶盡快升級到最新版本以規避風險。
李鐵軍表示,手機管理軟件確實為廣大智能手機用戶帶來了極大的便利,使得用戶可以通過電腦便利地管理手機信息,但是便利性不能以犧牲用戶數據安全為代價。
金山網絡倡議手機管理軟件廠商建立技術交流機制,共同構建手機管理軟件的安全技術標準,推動中國移動(微博)互聯網的健康發展。 |
浙公網安備 33038102330897號