360手機安全研究團隊vulpecker team近日向補天漏洞響應平臺提交了其發(fā)現(xiàn)的安卓app新型通用安全漏洞“寄生獸”，市面上數以千萬的APP受該漏洞影響，包括百度、騰訊、阿里等眾多廠商的移動產品。

寄生獸是日本作家?guī)r明均創(chuàng)作的漫畫《寄生獸》中的一種怪物，初始形態(tài)是一種蟲子，會鉆進生物的體內并奪取大腦，因人類嚴重的環(huán)境污染而誕生。vulpecker team以此命名該漏洞，可見此漏洞的危害之大。一旦該漏洞被攻擊者利用，可直接在用戶手機中植入木馬，盜取用戶的短信照片以及銀行、支付寶等賬號密碼等。多名業(yè)內人士評價，按照風險評估，該漏洞的經濟價值難以估量。

北京安賽創(chuàng)想安全能力中心主任張傲向雷鋒網表示，目前漏洞細節(jié)還沒有被公布，不過按其公布的視頻推測，安卓程序如果沒有驗證當前進程的文件簽名，或沒有對進程間的內存讀寫權限進行控制，第三方惡意程序就可以通過鏈接庫文件劫持或進程注入、修改wifi數據等的方式修改程序行為及通信數據。張傲表示，因為是通用型的漏洞，90％以上的應用都受影響。不過，如果用戶加強自我防護的意識并作出行動，將不會受到攻擊。

張傲對用戶提出的建議是，不要接入不安全的公眾Wifi，或通過正規(guī)渠道下載應用程序，可以避免遭到損失。而對于開發(fā)商，則應對程序文件進行簽名驗證，并對網絡間的交互數據進行校驗，可以避免受到攻擊。

目前補天平臺已經將相關詳情通知給各大安全應急響應中心，并敦請廠商收到詳情及時自查，如果自家app存在相關安全問題，需及時修復。另外，為了獎勵該通用漏洞的白帽子團隊補天平臺向其發(fā)放了1萬元獎金。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。