近期 Android 市场出现了一个新的安全漏洞。它让攻击者可以查看受害人通过 Android Web 浏览器打开的网页,或者截获受害人的在线帐户。据预计,75% 的 Android 用户或将受此影响。
该漏洞于 2014 年 9 月初由安全研究员 Ray Baloch 发现。他在题为 Google Android Browser Same Origin Policy Security Bypass Vulnerability(Google Android Browser 同源策略安全限制绕过漏洞,CVE-2014-6041)的报告中写道,此漏洞会影响 4.4 以下的 Android 版本。利用这个在 Android 开源项目浏览器(简称“AOSP 浏览器”,已不受谷歌支持)中发现的漏洞,攻击者可以找到新方法诱使 Android 用户访问恶意网站。即通过利用该漏洞,攻击者可以访问受害人在此类浏览器其他窗口中打开的网页,或者窃取一份用户的会话 Cookie 并截获会话内容,以此获取访问该用户其他信息的权限,例如电子邮件帐户。
尽管在 Ray Baloch 研究员发现此漏洞后 Google 也发布了相应的修补程序,例如这里的
1 号
和
2 号
修补程序,但是 Google 并未在 Android 4.4 KitKat 设备中预装 AOSP 浏览器,而是将它换成了 Chrome 浏览器。然而,现在只有
25% 的 Android 设备所有者使用 Android 4.4 KitKat,
这表示绝大多数 (75%) 的用户或将面临危险。
如果你正好是这 75% 中的一员,该怎么办?
无论如何都不要使用 AOSP 浏览器。
将浏览器升级为 Google Chrome。本次安全漏洞对 Chrome 用户没有影响。如果无法下载 Chrome 浏览器,就只能等设备生产商和手机运营商在他们提供的操作系统版本中增加上述两个修补程序。
切勿单击手机上的可疑链接。如果你觉得看到的信息可疑或“好得难以置信”,试着手动输入 URL 地址加以验证,因为许多有害链接在你单击它之前看上去都很“无害”。
密切留意诺顿发布的手机产品更新。现在 Norton Halt 最新版本已经推出,可以帮助你检测设备上是否存在此类漏洞。
虽然,目前为止还没有报告或证据表明有人蓄意利用该漏洞,但是出于安全考虑,请务必遵循上述建议以确保个人信息的私密性和安全性。