手機(jī)掛馬漏洞首次大規(guī)模爆發(fā) 微信QQ中招

近期，微信等多款安卓流行應(yīng)用曝出高危掛馬漏洞：只要點(diǎn)擊好友消息或朋友圈中的一條網(wǎng)址，手機(jī)就會(huì)自動(dòng)執(zhí)行黑客指令，出現(xiàn)被安裝惡意扣費(fèi)軟件、向好友發(fā)送欺詐短信、通訊錄和短信被竊取等嚴(yán)重后果。在烏云漏洞平臺(tái)上，包括安卓版微信、QQ、騰訊微博、QQ瀏覽器、快播、百度瀏覽器、金山瀏覽器等大批應(yīng)用均被曝光同類型漏洞。

360安全中心監(jiān)測(cè)到漏洞信息后，第一時(shí)間進(jìn)行了分析，發(fā)現(xiàn)此類漏洞是由于微信等應(yīng)用開發(fā)者錯(cuò)誤使用了安卓系統(tǒng)WebView開發(fā)接口引發(fā)的。此前，谷歌公司在安卓開發(fā)者文檔中已明確指出，“(WebView中的該接口)會(huì)引發(fā)嚴(yán)重的安全問題。請(qǐng)盡量不要使用這個(gè)接口，除非你能保證WebView中加載的內(nèi)容都是你自己編寫的。”國內(nèi)多家應(yīng)用開發(fā)者則忽略了這項(xiàng)安全規(guī)范，導(dǎo)致此次手機(jī)掛馬漏洞大規(guī)模爆發(fā)。

根據(jù)漏洞攻擊途徑分析，此次手機(jī)掛馬漏洞主要影響聊天應(yīng)用和手機(jī)瀏覽器。在微信等聊天應(yīng)用中，只要點(diǎn)擊公眾帳號(hào)或好友發(fā)來的惡意網(wǎng)址消息就會(huì)中招，用戶應(yīng)避免點(diǎn)擊陌生可疑鏈接;而對(duì)存在掛馬漏洞的百度、QQ、金山等多款第三方手機(jī)瀏覽器用戶來說，訪問惡意網(wǎng)頁也會(huì)出現(xiàn)手機(jī)被靜默安裝惡意應(yīng)用的情況。在上述應(yīng)用修復(fù)漏洞前，用戶應(yīng)臨時(shí)更換安卓系統(tǒng)自帶瀏覽器上網(wǎng)，可不受此次手機(jī)掛馬漏洞影響。

圖：微信點(diǎn)擊惡意網(wǎng)址導(dǎo)致手機(jī)被黑客遠(yuǎn)程控制