安全研究人员本周披露了两个安全漏洞,有可能令全世界20多亿手机用户中的90%,都面临密码被盗、数据被窃的风险,在某些情况下甚至会导致手机被黑客完全控制。
其中一项威胁是因为苹果、谷歌和黑莓等企业采用了存有瑕疵的行业标准,这些标准涉及网络连接和用户身份等多项功能的管理。
美国网络安全公司Accuvant研究员马修·索尔尼克(Mathew Solnik)表示,黑客可以借助这项漏洞远程删除数据、安装恶意软件、获取数据和运行应用。
另外一项威胁则会影响到四分之三采用旧版Android系统的设备,这项名为“虚假ID”的漏洞是由Bluebox Security公司的研究人员发现的。恶意应用可以借此在Android设备上假冒正规应用。
索尔尼克强调称,Accuvant发现的这项与智能手机管理软件有关的漏洞,目前还不太可能对普通用户造成威胁,因为全世界只有少数的移动通讯专家知道如何使用这项技术。可一旦对外公布,预计风险会大幅增加。
全球智能手机行业过去几年面临着越来越多的安全漏洞。上述两家公司都准备在下周的黑帽黑客大会上公布自己的成果。
苹果发言人尚未对此置评。黑莓表示,该公司已经了解了Accuvant发现的问题,正在研究细节信息。谷歌发言人拒绝对Accuvant发现的漏洞发表评论,但却表示会尽快就Bluebox发现的漏洞发布补丁。
但谷歌表示,目前还没有证据显示有人利用“虚假ID”漏洞发动攻击。
美国市场研究公司IDC安全服务分析师克里斯蒂娜·里士满(Christina Richmond)表示,发现这些漏洞对整个手机行业有利,因为相关厂商可以在不法分子利用这些漏洞前采取应对措施。“这些安全威胁已经成为全球数十亿智能手机用户面临的日常威胁。广大智能手机用户必须明白,如果不及时升级手机系统,可能面临很多风险。”她说。
美国市场研究公司Strategy Analytics本周四公布的数据显示,Android今年第二季度的全球智能手机出货量份额高达85%,苹果iOS、微软Windows Phone和黑莓系统的份额都有所下滑。
安全研究人员表示,Android的快速增长和主导份额同时也产生了负面影响。直到去年末,Android的碎片化还十分严重,导致开发者难以一一更新产品,令Android的安全问题难以迅速解决。而此次“虚假ID”漏洞的波及面很广,最早甚至还会影响到2010年1月发布的Android 2.1系统。