多款手機(jī)管理軟件存泄密風(fēng)險(xiǎn) 金山提醒安卓用戶盡快升級(jí)

近日360手機(jī)精靈、豌豆莢、騰訊手機(jī)助手等多款安卓(Android)手機(jī)管理軟件曝出安全漏洞，在公共WiFi環(huán)境下，安卓手機(jī)用戶可能會(huì)被處于同一網(wǎng)絡(luò)的攻擊者盜取所有個(gè)人隱私信息。金山網(wǎng)絡(luò)發(fā)布橙色安全預(yù)警，提醒廣大安卓用戶盡快升級(jí)軟件程序修復(fù)漏洞。

手機(jī)管理軟件幾乎是智能手機(jī)的必備工具，金山網(wǎng)絡(luò)安全專家李鐵軍介紹，這類軟件大多需要借助FTP服務(wù)，但如果技術(shù)實(shí)現(xiàn)存在漏洞，處于同一網(wǎng)絡(luò)的攻擊者可輕松掃描獲得FTP端口號(hào)、用戶名和密碼，繼而隨意瀏覽、下載和刪改手機(jī)中的通訊錄、短信、照片、視頻等幾乎所有隱私信息。

使用公用WiFi可能被入侵

這為眾多在辦公室、咖啡館、機(jī)場(chǎng)等場(chǎng)所使用公用WiFi的安卓手機(jī)用戶敲響了警鐘。金山安全中心對(duì)此進(jìn)行了專門的技術(shù)分析，并發(fā)布了研究報(bào)告。

分析顯示，360手機(jī)精靈通過FTP技術(shù)來管理手機(jī)文件。但FTP用戶名、密碼是明文未加密且固定不變，也未限制客戶端。該漏洞很容易被惡意利用，只要同網(wǎng)絡(luò)下的任意一臺(tái)電腦，攻擊者無需專業(yè)技能，僅通過標(biāo)準(zhǔn)的FTP程序，就可以闖入用戶的手機(jī)盜取存在手機(jī)存儲(chǔ)卡上的照片、文件等數(shù)據(jù)。

豌豆莢存在和360手機(jī)精靈的同類的FTP漏洞。

騰訊應(yīng)用助手沒有使用FTP協(xié)議，而是采用了私有協(xié)議和動(dòng)態(tài)驗(yàn)證碼， 漏洞利用較為困難。其風(fēng)險(xiǎn)在于動(dòng)態(tài)驗(yàn)證碼的算法強(qiáng)度不夠，對(duì)于專業(yè)的黑客，可以通過逆向技術(shù)分析和編寫專業(yè)工具來進(jìn)行針對(duì)性的定點(diǎn)攻擊。

在這三款軟件中，由于360手機(jī)精靈目前通過360安全衛(wèi)士捆綁推廣，并默認(rèn)裝在手機(jī)里開機(jī)自啟動(dòng)。因?yàn)?60安全衛(wèi)士擁有接近4億的電腦用戶，影響用戶面最廣。

盡快升級(jí)程序修復(fù)漏洞

目前，三款軟件的最新版本已基本修復(fù)了WIFI漏洞， 金山安全中心提醒廣大安卓用戶盡快升級(jí)到最新版本以規(guī)避風(fēng)險(xiǎn)。

李鐵軍表示，手機(jī)管理軟件確實(shí)為廣大智能手機(jī)用戶帶來了極大的便利，使得用戶可以通過電腦便利地管理手機(jī)信息，但是便利性不能以犧牲用戶數(shù)據(jù)安全為代價(jià)。

金山網(wǎng)絡(luò)倡議手機(jī)管理軟件廠商建立技術(shù)交流機(jī)制，共同構(gòu)建手機(jī)管理軟件的安全技術(shù)標(biāo)準(zhǔn)，推動(dòng)中國(guó)移動(dòng)互聯(lián)網(wǎng)的健康發(fā)展。