安卓被曝“寄生兽”漏洞

GM起点

京华时报讯（记者古晓宇）昨日记者了解到，360手机安全研讨团队vulpeckerteam提交了其发现的安卓APP新式通用安全缝隙“寄生兽”，市道上超越千万个安卓的APP都可能存在这一缝隙。

360公司安全工程师宋申雷介绍，这一严峻的安全缝隙是由两方面原因形成的：一方面，安卓体系自身就存在没有对缓存进行强校验的缺点；另一方面，在这个缺点的基础上，各公司推出的APP都存在触及缓存信息安全的缝隙。使用该缝隙，攻击者能够直接在用户手机中植入木马，盗取用户的短信照片等个人隐私，甚至盗取银行、支付宝等账号密码等。

宋申雷表明，只要是读取各类压缩文件的APP都可能会受到这个缝隙的影响，大略预算，市道上有超千万的APP都在此规模内，特别是常用的输入法类、地图类、浏览器类使用都在，也包含baidu、腾讯、阿里等众多厂商的商品，如搜狗输入法、baidu输入法、UC浏览器等。

据了解，该团队现已向补天缝隙呼应渠道提交了这一严峻的缝隙，现在补天现已将有关概况告诉给各大安全应急呼应基地，并敦请厂商收到概况及时自查修复。

多名业内人士评价，由于触及规模无穷，按照危险评价，该缝隙的经济价值难以估计。360方面表明，从现在了解到的信息看，已有安全厂商正在对此缝隙进行紧急修复，有些APP开发公司也已联络补天缝隙呼应渠道，寻求更多该缝隙技术细节。