寄生獸現身安卓系統 上千萬App疑有漏洞

大陸360手機安全研究團隊vulpeckerteam近日宣布，發現手機安卓（Android）作業系統應用程式（App）新型通用安全漏洞「寄生獸」，市面上超過千萬個安卓的App，都可能存在這一漏洞。

360公司安全工程師宋申雷介紹，這一嚴重的安全漏洞是由兩方面原因造成的，一是安卓系統本身就存在沒有對快取（cache，大陸稱緩存）記憶體內容進行強校驗的缺陷。

他說，另一方面，在這個缺陷的基礎上，各企業推出的App都存在涉及快取記憶體資料安全的漏洞。利用這個漏洞，攻擊者可以直接在用戶手機中植入木馬，盜取用戶的簡訊、照片等個人隱私，甚至盜取銀行、支付寶等帳號密碼。

宋申雷表示，只要是讀取各類壓縮文件的App都可能會受到這個漏洞的影響，粗略估算，市面上有超千萬的App都在此範圍內，特別是常用的輸入法類、地圖類、瀏覽器類應用程式，也包括大陸的百度、騰訊、阿里等眾多廠商的產品，如搜狗輸入法、百度輸入法、UC瀏覽器等。

據悉，該團隊已經向「補天漏洞響應平台」提交了這一嚴重的漏洞，補天已將相關詳情通知給各大安全應急響應中心，並敦請廠商收到詳情及時自查修復。

大陸多名業內人士評價，因為涉及範圍巨大，按風險評估，這個漏洞的經濟價值難以估量。

360表示，從目前了解到的資料來看，已有安全廠商正在對此漏洞進行緊急修復，部分App開發企業也已聯繫「補天漏洞響應平台」，尋求更多該漏洞技術細節。