資安研究人員日前已經發佈概念驗證(POC, Proof of Concept),證明 Android的WebKit瀏覽器也受此漏洞影響。九月份時,Apple的iOS系統被發現Webkit等多種安全漏洞,如今也發現部分在手機上的Android作業系統也受到影響。(如圖)
(圖片來源:http://www.securityfocus.com/ 網站)
使用者不需要安裝應用程式,攻擊者也不需要放後門進去,只要使用者在手機上點選惡意連結就會「中獎」!台灣目前也已有安全研究專家在手機及模擬器上實驗成功。
這個攻擊會把CPU的資源耗盡,歷時大約1分鐘, 所以使用者如果發現手機突然遽然變慢就必須多加留意,使用瀏覽器瀏覽網頁時,最好趕快停止。資安專家翁浩正表示,瀏覽網頁時若瀏覽到具有攻擊程式的頁面,會突然變慢,這是因為攻擊動作正在背景進行的緣故。
Google表示此後會在即將發布的Android下一版-代號Gingerbread有重大的結構更新,此後的更新應用程式將會放在Market,讓使用者可以自行更新,而不是像現在必須綁在作業系統上,必須透過Google提供修正版本來更新。,若HTC、Samsung、Motorola等廠商沒有釋出更新版本或速度不夠快,就會讓使用者的更新速度受到影響,整個核心只要沒更新就會受到影響,拉長受到安全威脅的時間。
幸好Android 最新版2.2並未受到波及。但目前舊的Android2.0及2.1版本都受到此弱點威脅影響,若手機能夠更新最好儘速更新,不過若受限於手機廠商未即時釋出更新,目前也無法可解。