[轉載]新漏洞:一首歌即可攻陷所有Android設備
Zimperium zLabs的安全研究員們發現了一種新的“Stagefright”漏洞,由於它的緣故,可能你只是打開了一個MP3檔就會令你的Android(安卓)手機中招。據說現在已經出現了好幾種利用該漏洞發起攻擊的方式,其中一種攻擊方式會影響到幾乎所有的Android手機,因為只要手機運行的是2008年發佈的Android 1.0及更高版本的系統都會受到影響;其他幾種攻擊方式則主要針對的是Android 5.0及更高版本的系統。
這種攻擊被稱作“Stagefright 2.0攻擊”,它與系統處理MP3或MP4檔中的元資料的方式有關。只要用戶手機上的Android系統預覽了攻擊者特別製作的歌曲或視頻檔,攻擊者就能在用戶手機上執行遠端代碼。
它還影響到了第三方應用,因為在某些媒體播放器使用的libstagefright庫中都被發現存在這個漏洞。截至本文發稿,安全界尚未發現利用這種方式發起攻擊的真實案例。
由於這個漏洞尚未得到修復,因此現在沒有該漏洞的概念驗證碼,但是一旦公開發佈解決方案,公司將更新其Stagefright檢測應用。
研究員們在8月15日向谷歌報告了這一漏洞,谷歌計劃在10月份第二周的Nexus安全告示欄上發佈一個更新來修復此漏洞。
一些手機廠商比如小米、三星、HTC和索尼等自己也將發佈升級更新,但是它們還沒有透露具體的計劃內容。
據Motherboard稱,Android Marshmallow將整合這個更新,只是這將僅限於最新發佈的設備。
對於不再接收升級的舊設備來說,情況就不太樂觀了。這個安全漏洞可能會被修復,但是除非用戶手動將手機系統刷到更新的版本,否則他們隨時可能遭到攻擊。
在互聯網上發生這樣大範圍的攻擊將會造成災難性的後果,因為它只需要用戶訪問一個包含惡意檔的網址鏈結就行了,而這一點很容易做到,比如在一首看似合法的歌曲中執行一個下載命令就行了。
頁:
[1]