楠木軒

安卓致命漏洞最大危機浮出水面 一條彩信竟可控制一臺手機【影片】

由 勞新忠 釋出於 綜合

  【安卓致命漏洞】【新聞閣2015年07月29日訊】網路安全公司Zimperium研究人員27日警告,全球應用最廣泛的移動裝置作業系統之一安卓(Android)存在“致命”安全漏洞,“駭客”只需簡單傳送一條彩信便能在使用者毫不知情的情況下完全控制手機。

  “駭客”發條彩信便能“秒控”手機

  入侵不需使用者打開彩信

  Zimperium當天在部落格發帖說,公司研究人員喬舒亞·德雷克在安卓平臺的核心組成部分,即主要用來處理、播放和記錄多媒體檔案的Stagefright框架中發現多處安全漏洞。“駭客”只需知道使用者手機號碼,便可透過傳送彩信的方式遠端執行惡意程式碼。具體而言,使用者接收彩信後透過瀏覽器下載一個特製媒體檔案,“駭客”就可以發動攻擊。

  最可怕的是,Stagefright框架不只用來播放媒體檔案,還能自動產生縮圖或從影片或音訊檔案中抽取元資料,這意味著“駭客”可以在使用者完全不開啟或閱讀彩信的情況下入侵手機,甚至趕在使用者看到這條彩信前將其刪除,神不知鬼不覺地“黑”掉手機,繼而遠端竊取檔案、查收電郵乃至盜取使用者名稱和密碼等資訊,而使用者對這一切全然不知。


  “這類攻擊的目標可以是任何人,”Zimperium公司說,“這些漏洞極其危險,因為它們無需受害人採取任何行動。”

  波及安卓多個版本

  按這家公司的說法,Stagefright框架的安全漏洞波及安卓多個版本,由於更新較慢,預計當前約有95%、即多達9.5億部使用安卓系統的智慧手機受到影響。

  這家公司先前已將這些安全漏洞通報給谷歌公司,同時向後者提供了自行開發的補丁程式。

  “谷歌行動及時,48小時內便在內部程式碼庫應用了補丁程式,”Zimperium公司說,“不過,這只是個開始,更新部署將是非常漫長的過程。”

  目前,谷歌已把補丁程式提供給合作伙伴,但補丁到達終端使用者手中往往需要幾個月時間。

  Zimperium公司說,他們將於下月初在美國拉斯韋加斯舉行的全球資訊保安領域頂尖峰會“黑帽大會”上釋出更多相關資訊。

  彩信入侵

  Zimperium當天在部落格發帖說,公司研究人員喬舒亞·德雷克在安卓平臺的核心組成部分,即主要用來處理、播放和記錄多媒體檔案的Stagefright框架中發現多處安全漏洞。“駭客”只需知道使用者手機號碼,便可透過傳送彩信的方式遠端執行惡意程式碼。具體而言,使用者接收彩信後透過瀏覽器下載一個特製媒體檔案,“駭客”就可以發動攻擊。

  最可怕的是,Stagefright框架不只能用來播放媒體檔案,還能自動產生縮圖或從影片或音訊檔案中抽取元資料,這意味著“駭客”可以在使用者完全不開啟或閱讀彩信的情況下入侵手機,甚至趕在使用者看到這條彩信前將其刪除,神不知鬼不覺地“黑”掉手機,繼而遠端竊取檔案、查收電郵乃至盜取使用者名稱和密碼等資訊,而使用者對這一切全然不知。



  “這類攻擊的目標可以是任何人,”Zimperium公司說,“這些漏洞極其危險,因為它們無需受害人採取任何行動。”

  涉及面廣

  按這家公司的說法,Stagefright框架的安全漏洞波及安卓多個版本,由於更新較慢,預計當前約有95%、即多達9.5億部使用安卓系統的智慧手機受到影響。

  這家公司先前已將這些安全漏洞通報給谷歌公司,同時向後者提供了自行開發的補丁程式。

  “谷歌行動及時,48小時內便在內部程式碼庫應用了補丁程式,”Zimperium公司說,“不過,這只是個開始,更新部署將是非常漫長的過程。”

  目前,谷歌已把補丁程式提供給合作伙伴,但補丁到達終端使用者手中往往需要幾個月時間。

  Zimperium公司說,他們將於下月初在美國拉斯韋加斯舉行的全球資訊保安領域頂尖峰會“黑帽大會”上釋出更多相關資訊。