Android被曝重大漏洞！95%设备可被黑客利用-漏洞研究-福州电脑维修|上门维修维护|包年电脑维修|IT外包

Android被曝重大漏洞！95%设备可被黑客利用

以色列挪动信息宁静公司Zimperium研讨人员约舒亚·德雷克(JoshuaDrake)在Android体系中发现了多处宁静漏洞，影响以后约95%的Android设置装备摆设。只需简单的一条彩信，黑客就可能完全控制用户手机。

德雷克在Android平台的核心构成部分Stagefright中发现了多处漏洞，Stagefright重要用来处理、播放和记载多媒体文件。此中一些漏洞允许黑客长途执行歹意代码，只需用户接收一条彩信(MMS)，通过浏览器下载一个特定视频文件，大概打开一个嵌入多媒体内容的网页，黑客就可以发动攻击。

德雷克还称，在其他许多情况下，黑客也可能对用户发动攻击，由于只需Android平台接收到任何泉源的媒体文件，都要通过Stagefright框架来处理。

Stagefright不只是用来播放媒体文件的，还能主动产生缩略图(thumbnail)，大概从视频或音频文件中抽取元数据，如长度、高度、宽度、帧频、频道和其他雷同信息。

这意味着无需用户执行一些歹意多媒体文件，只需复制这些文件，黑客即可利用Stagefright漏洞发动攻击。

德雷克不确定有几多使用依赖于Stagefright，但他认为，任何一款使用，只需处理Android上的媒体文件，就必要以某种方式来利用Stagefright。

在所有攻击途径中，彩信是最伤害的，由于它不必要用户的任何互动，只需手机接受一条歹意信息即可。

德雷克称，例如，用户在睡觉时把手机静音，黑客就可以发送一条歹意彩信。黑客利用该彩信发动攻击后，还可以将这条彩信删除，这样用户就永久也不会知道本身的手机被入侵。

德雷克不仅发现了存在于Stagefright中的这些漏洞，还开发了必要的补丁程序，并于今年4月和5月初提供给了谷歌。德雷克称，谷歌对该题目十分器重，在48小时内就将该补丁使用到谷歌外部的Android代码库中。

在通过Android开源项目(AOSP)公布之前，谷歌已经提前将该补丁提供了部分互助伙伴设置装备摆设厂商。但遗憾的是，德雷克预计，由于Android更新较慢，以后凌驾95%的Android设置装备摆设依然受Stagefright漏洞的影响。即使在谷歌自家的Nexus系类设置装备摆设中，目前也只有Nexus6接收到了部分补丁。

通过OTA更新，Android补丁抵达终端用户手中往往必要几个月时间。由于厂商首先要把谷歌的代码置入本身的代码库中，然后为本身的各种型号设备建立新的固件版本，测试后再与挪动运营商互助来公布更新。而且，如果设置装备摆设凌驾18个月就彻底停止接收更新，因此对于新发现的宁静漏洞毫无抵挡之力。

德雷克发现的这些宁静漏洞影响Android2.2及以上版本，这意味着有少量设置装备摆设将永久无法接收到这些补丁。德雷克预计，在以后利用中的 Android设置装备摆设中，最终将只有20%至50%的设置装备摆设能够接收到补丁程序。德雷克还称，50%是一个理想的目标，如果然的达到50%，那将是令人受惊的。

对此，谷歌在一封电子邮件声明中对德雷克的孝敬表现感谢，并证实这些补丁已经提供给互助伙伴。谷歌还称：“大部分Android设置装备摆设，包罗所有新设置装备摆设，都拥有多项技术让黑客的入侵变得更困难。另外，Android设置装备摆设还包罗一款‘沙箱’使用，用来保护用户数据和设置装备摆设上的其他使用。”

在这些漏洞被利用后，黑客能在用户设置装备摆设上执行的操作会有所不同，这重要取决于Stagefright框架的优先级别。整体而言，用户可以访问设置装备摆设的麦克风、摄像头、外部存储分区，但不会安装使用或访问设置装备摆设的外部数据。德雷克称，如果Stagefright拥有体系级权限(根权限)，那么在受影响的设备中，预计有50%会被黑客完全控制。

由于这些补丁尚未通过AOSP项目公布，意味着非谷歌互助伙伴尚未得到补丁程序。此外，CyanogenMod等第三方AOSP固件也可能遭到影响。据悉，德雷克私下已将这些补丁提供给部分受影响的第三方，如Silent Circle和Mozilla等。

Android、Windows和Mac版Mozilla Firefox，以及FirefoxOS均受这些漏洞影响，由于它们都利用了Stagefright框架。据悉，Mozilla今年5月已修复了Firefox 38。

德雷克计划在8月5日的黑帽宁静大会(Black Hat Security Conference)上提供更多信赖信息。

福州电脑维修

TAG:

评论加载中...