360手機安全研究團隊vulpecker team近日向補天漏洞響應(yīng)平臺提交了其發(fā)現(xiàn)的安卓app新型通用安全漏洞“寄生獸”，市面上數(shù)以千萬的APP受該漏洞影響，包括百度、騰訊、阿里等眾多廠商的移動產(chǎn)品。

寄生獸是日本作家?guī)r明均創(chuàng)作的漫畫《寄生獸》中的一種怪物，初始形態(tài)是一種蟲子，會鉆進生物的體內(nèi)并奪取大腦，因人類嚴重的環(huán)境污染而誕生。vulpecker team以此命名該漏洞，可見此漏洞的危害之大。一旦該漏洞被攻擊者利用，可直接在用戶手機中植入木馬，盜取用戶的短信照片以及銀行、支付寶等賬號密碼等。多名業(yè)內(nèi)人士評價，按照風(fēng)險評估，該漏洞的經(jīng)濟價值難以估量。

北京安賽創(chuàng)想安全能力中心主任張傲向雷鋒網(wǎng)表示，目前漏洞細節(jié)還沒有被公布，不過按其公布的視頻推測，安卓程序如果沒有驗證當(dāng)前進程的文件簽名，或沒有對進程間的內(nèi)存讀寫權(quán)限進行控制，第三方惡意程序就可以通過鏈接庫文件劫持或進程注入、修改wifi數(shù)據(jù)等的方式修改程序行為及通信數(shù)據(jù)。張傲表示，因為是通用型的漏洞，90％以上的應(yīng)用都受影響。不過，如果用戶加強自我防護的意識并作出行動，將不會受到攻擊。

張傲對用戶提出的建議是，不要接入不安全的公眾Wifi，或通過正規(guī)渠道下載應(yīng)用程序，可以避免遭到損失。而對于開發(fā)商，則應(yīng)對程序文件進行簽名驗證，并對網(wǎng)絡(luò)間的交互數(shù)據(jù)進行校驗，可以避免受到攻擊。

目前補天平臺已經(jīng)將相關(guān)詳情通知給各大安全應(yīng)急響應(yīng)中心，并敦請廠商收到詳情及時自查，如果自家app存在相關(guān)安全問題，需及時修復(fù)。另外，為了獎勵該通用漏洞的白帽子團隊補天平臺向其發(fā)放了1萬元獎金。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。