一部分 Android 系统发现与 SSL 关联的重大安全漏洞,注意引发钓鱼欺诈攻击

IPA(信息处理推进机构)的安全中心与 JPCERT/CC 在 2011 年 7 月 29 日发布信息称,发现了在 Android OS 中的一部分 SSL(Secure Sockets Layer)证书的关于显示方面发现了威胁度等级高的安全漏洞。SSL 证书是在访问 Web 的时候,为了确认连接端的服务器身份(是否是合法域名等)使用的信息。

受影响的对象是,Android OS 版本 2.2 之前的版本(是否是全终端都收影响,暂时还未确定)。受影响的 Android 终端通过 Web 浏览器访问“读取嵌入外部网站的内容的 Web 网站”时,应当显示的是连接方的 Web 网站(域名)的证书,却显示的是外部网站的证书。

如果恶意使用此漏洞,比如为了盗取用户的信用卡卡号等信息,可以建立一个用于钓鱼欺诈的 Web 网站,在页面内嵌入一个正宗的网站的内容。在这种情况下,如果访问这样的钓鱼网站,会显示正宗的网站的 SSL 证明,使得用户误认为是安全的网站而遭到损失。

Android OS 的开发者是美国的 Google 公司并没有提供用户可以通过市场等途径升级终端的 OS 版本,而是交由终端的厂商负责。因此,对于用户而言,只能等待终端厂商提供修正补丁或者固件更新。