[轉載]新漏洞：一首歌即可攻陷所有Android設備

PCM.DSD

Zimperium zLabs的安全研究員們發現了一種新的“Stagefright”漏洞，由於它的緣故，可能你只是打開了一個MP3檔就會令你的Android（安卓）手機中招。

據說現在已經出現了好幾種利用該漏洞發起攻擊的方式，其中一種攻擊方式會影響到幾乎所有的Android手機，因為只要手機運行的是2008年發佈的Android 1.0及更高版本的系統都會受到影響；其他幾種攻擊方式則主要針對的是Android 5.0及更高版本的系統。

這種攻擊被稱作“Stagefright 2.0攻擊”，它與系統處理MP3或MP4檔中的元資料的方式有關。只要用戶手機上的Android系統預覽了攻擊者特別製作的歌曲或視頻檔，攻擊者就能在用戶手機上執行遠端代碼。

它還影響到了第三方應用，因為在某些媒體播放器使用的libstagefright庫中都被發現存在這個漏洞。截至本文發稿，安全界尚未發現利用這種方式發起攻擊的真實案例。

由於這個漏洞尚未得到修復，因此現在沒有該漏洞的概念驗證碼，但是一旦公開發佈解決方案，公司將更新其Stagefright檢測應用。

研究員們在8月15日向谷歌報告了這一漏洞，谷歌計劃在10月份第二周的Nexus安全告示欄上發佈一個更新來修復此漏洞。

一些手機廠商比如小米、三星、HTC和索尼等自己也將發佈升級更新，但是它們還沒有透露具體的計劃內容。

據Motherboard稱，Android Marshmallow將整合這個更新，只是這將僅限於最新發佈的設備。

對於不再接收升級的舊設備來說，情況就不太樂觀了。這個安全漏洞可能會被修復，但是除非用戶手動將手機系統刷到更新的版本，否則他們隨時可能遭到攻擊。

在互聯網上發生這樣大範圍的攻擊將會造成災難性的後果，因為它只需要用戶訪問一個包含惡意檔的網址鏈結就行了，而這一點很容易做到，比如在一首看似合法的歌曲中執行一個下載命令就行了。