電腦安全專家在Google的Android移動操作系統的一個組件中發現一處缺陷,***可以利用該缺陷控制Android設備。
電腦安全創業公司CrowdStrike的研究人員表示,他們已經搞清楚如何利用這一缺陷發動***,控制部分Android設備。CrowdStrike稱,***向用戶發送假冒來自可靠發件人的電子郵件或文字信息,例如用戶的電信運營商。信息要求用戶點擊其中的鏈接,用戶就會受到***。CrowdStrike聯合創始人、首席技術官迪米特里·阿帕洛維奇(Dmitri Alperovitch)說,此時,***就完全控制了設備,可以竊聽電話,監視設備所處的位置。
Google發言人傑伊·南卡洛(Jay Nancarrow)沒有就Crowdstrike的說法發表評論。
阿帕洛維奇表示,CrowdStrike進行這項研究的目的是,強調移動設備受到與PC類似***的危險性越來越高。在這類***中,***發現此前未知的缺陷,然後通過鏈接或電子郵件附件利用缺陷發起***。智能手機用戶需要密切注意,因爲移動安全軟件通常無法發現或阻止這類***,“由於會出現變種和利用不同的缺陷,這類***可以在所有移動設備上發威,對移動設備而言是最大的安全威脅”。
CrowdStrike發現的***方法可以對運行Android 2.2的設備發動***。谷歌在1月份進行的調查表明,Android 2.2佔所有Android設備的28%。阿帕洛維奇說,預計CrowdStrike下週將開發出可以***Android 2.3的代碼。Android 2.3佔所有Android設備的59%。
CrowdStrike的***代碼利用了webkit瀏覽器渲染引擎中一個尚未公開披露的缺陷。集成在Android中的瀏覽器使用了webkit,webkit還被應用在其他軟件中,其中包括谷歌的Chrome瀏覽器和蘋果iOS移動操作系統。CrowdStrike稱,該公司尚未考慮開發***iOS設備或Chrome瀏覽器的代碼。