【IT168 资讯】这段时间“寄生兽”非常的火爆,不过这里所说的“寄生兽”并不是日本的那部漫画,而是一个被称作“寄生兽”的安卓系统漏洞,该安全漏洞可导致APP被注入隐藏的手机木马病毒,盗取用户网银、微信支付等账号密码信息。面对今时今日移动端的飞速普及,出现大范围面对安卓用户的安全隐患,不禁让人脊背一凉。
不得不说,随着移动支付的兴起,手机安全与用户的财产安全也关系甚密。“寄生兽”来势汹汹,盯着的就是广大安卓用户钱包里的那点微薄的积蓄。此漏洞主要存在于输入法、浏览器和地图类应用程序中,然而这些又都是我们最常用的应用,因此上网的“安全”就成为我们一件急需重视的事情。在众多媒体疯狂报道:扫个二维码,钱就没了;近期千万别用安卓手机上的浏览器网购或支付等,这些铺天盖地的相关信息已经严重影响了安卓手机用户的日常手机使用,下面小编将和大家一起测试一下我们常用的几款手机浏览器,对“寄生兽”漏洞进行安全评测,看看它们的安全表现如何。
何为“寄生兽”漏洞?
古人云:“知己知彼,方能百战不殆。”那么“寄生兽”是个什么玩意儿呢?
多数安卓系统的应用升级都需要重新安装程序,频繁的升级对用户的体验和应用的开发都是非常不方便的,所以目前市面上的安卓应用都采用的是插件机制来对应用进行升级或扩展更新。简单来说,就是给你装个插件,你的应用就会多点新功能。然而在我们安装这些正规APP的时候,它自身的安全权限是被信任的。“寄生兽”针对解压zip压缩文件的时候,利用APP系统权限覆盖任意文件,同时也因为APP用到了插件机制,对应的APK插件的odex缓存文件也会被备份。借着“寄生兽”漏洞进入手机的木马病毒,对已备份用户数据文件进行修改,替换掉正常的odex缓存文件,从而使我们的手机中招。而且被感染以后,APK文件很难主动发现自身已被注入病毒,即使重启或关机,只要APP一运行,恶意代码就会随之运行。
如此看来,我们在使用浏览器下载zip文件时,对文件的安全性检测就显得尤为重要,因为它是文件进入手机的第一道关卡。最早央视新闻曝光“寄生兽”的安卓手机漏洞,攻击者就是利用事先准备好的感染木马的zip文件,再通过UC浏览器等手机APP在安卓用户手机中植入木马,盗取用户网银、支付宝等账号密码信息。这次“寄生兽”事件爆发后,有专家告诉我们:此次UC手机浏览器等手机软件之所以被黑客利用,主要原因还在于软件自身存在一定安全问题,其一是软件开发者没有考虑odex的安全问题,其二是软件没有对ZIP解压缩时的恶意文件名做检测,这才导致安全隐患,给黑客可趁之机。
所以根据专家的指导,小编也得出一个结论:我们在选择手机浏览器上网时,应选择能对zip解压缩文件等中出现的恶意文件名进行检测的APP。
百度手机浏览器安全测试
通过对百度手机浏览器评测发现,手机百度浏览器在下载并解压zip文件时遇到包含 “../../../”的文件名时会将非法的../去除掉,防止寄生兽漏洞被利用攻击,不会引起安全问题。这是百度手机浏览器自身安全防护功能。百度手机浏览器在此轮评测中表现安全,可以让人长舒一口气。
接着我们使用百度手机浏览器下载APK应用做了一下测试,看一看百度手机浏览器有没有进行安全扫描。在应用下载前, 百度手机浏览器会对下载的应用进行安全性检测,并在下载框和下载管理界面中标明,安全性表现强。
总体来看,百度手机浏览器在zip文件下载和APK文件下载两项测试中表现出极强的安全性,无“寄生兽”漏洞,大家可以放心使用。
QQ手机浏览器安全测试
这里我们对QQ手机浏览器做了测试,有着大量用户的微信、手机QQ等腾讯旗下应用,都会直接关联QQ手机浏览器的浏览,所以一旦被寄生兽利用,其风险是成倍增长的。
我们在使用QQ浏览器下载测试人员精心设计的解压zip文件的时候,几乎没有什么异常现象,能够直接下载完成,可见没有什么安全检测,zip文件可以被轻松调包让木马病毒进入手机,其结果就能直接造成财付通、支付宝的文件名被替代,截获用户财付通、微信、支付宝等支付账号与密码。
接着我们用QQ手机浏览器对APK应用的下载进行了测试,下载前QQ手机浏览器也会检测文件的安全性,并且可以列出下载文件的检测详情,在文件下载安全性检测中的表现不错。QQ浏览器总算是在对APK应用的安全监测环节扳回一城。作为中国IT行业的大佬之一,拥有自己的病毒实验室和病毒库,相信会很快修复。
UC手机浏览器安全测试
虽然UC手机浏览器最早被曝出了“寄生兽”漏洞,但小编也是本着公平公正的原则,所以我们也对UC手机浏览器做了相应的测试。
在使用UC手机浏览器下载不安全的zip文件时,UC手机浏览器会进行检测,给出不安全提示,并停止解压,这个还是不错的,一目了然简单粗暴。
接着我们对UC手机浏览器下载APK应用做了一下测试,在应用下载前, UC手机浏览器会对下载的应用进行安全性检测,如果安全,就会有个绿色的安全标识,如果不安全,它会用显眼的红色标注,要不要下载就一目了然了。
从UC浏览器的表现来看,ZIP下载和APK下载都还是有安全检测的,但从整个“寄生兽”事件来看,UC浏览器还是不幸被爆出了漏洞,而且UC手机浏览器这几年来多次被曝漏洞被利用,可见安全性能还是有待提高。
测试总结:
通过对国内三款主流手机浏览器安全方面的对比,在手机漏洞管理上,百度手机浏览器和UC浏览器比较安全,QQ浏览器还需尽快修复。纵观“寄生兽”事件,可以看出用户需要的手机浏览器产品,已经不仅仅局限于“快速”,在安全方面的需求也提升到更高的层次。这次的检测中,百度手机浏览器在下载前均会对zip文件进行签名检测、也会对APK应用进行提前扫描,并且百度手机浏览器本身无“寄生兽”漏洞,安全性优异。不难看出百度对于手机浏览器速度、安全等的兼顾意识。而对于“寄生兽”漏洞事件,目前安卓用户应减少在手机上网时的支付行为。这也告诉我们,我们在选择安全的产品的同时,也必须一并提高我们自身的安全防范意识,发现操作过程中的不和谐之处要及时打住,多留个心眼,不要给不法分子可乘之机!
