在浏览器类应用上寄生兽漏洞主要通过解压z

根据央视报道，一个被研究人员命名为寄生兽的安卓系统安全漏洞正影响市面上数以取银行等账号密码等。

根据安全论坛乌云漏洞平台发布的信息，目前主要有以下几种应用被确认存在漏洞风险，包括输入法类应用，如搜狗输入法、百度输入法等;浏览器应用，如浏览器;还有其他通用App如等。

在输入法类应用上，搜狗输入法，百度输入法等感染恶意代码后，攻击者可以拦截所有用户输入。如果用户通过搜狗输入法、百度输入法输入各类账号和密码，包括银、支付账号和密码等，都有可能给黑客所截获。

在浏览器类应用上，寄生兽漏洞主要通过解压zip文件进行文件替换，比如通过浏览器，攻击者可将浏览器的财付通、支付SDK文件替换。只要用户通过浏览器使用财付通或支付，黑客都可以轻而易举地获取到用户输入的账号和密码，并神不知鬼不觉地将用户财付通和账号的钱转走。专家验证，不仅仅是购物，在任何需要支付的环节，比如购买小说、购买Q币、购买游戏豆，该风险都可能存在。

客户端也存在寄生兽漏洞，好友发送的带有攻击代码的zip会被默认使用浏览器打开和解压，这样可以导致浏览器被感染木马，这样的攻击将更容易发生，进而导致财付通、等支付账号和密码被获取。

北京安赛创想安全能力中心主任张傲对媒体表示，目前漏洞细节还没有被公布，不过按其公布的视频推测，安卓程序如果没有验证当前进程的文件签名，或没有对进程间的内存读写权限进行控制，第三方恶意程序就可以通过链接库文件劫持或进程注入、修改wifi数据等的方式修改程序行为及通信数据。因为是通用型的漏洞，90%以上的应用都受影响。不过，如果用户加强自我防护的意识并作出行动，将不会受到攻击。

据了解，有关部门已经第一时间通知了相关厂商，对此漏洞进行紧急修复。安全人员呼吁使用进行购时要格外谨慎。

李惠