Android出现重大漏洞,一通短信就可骇入手机,近十亿用户挫咧等
http://www.ithome.com.tw/news/97706 ithome
资安公司Zimperium发现,几乎所有版本的Android作业系统存在重大安全漏洞,只
要传一封恶意短信就能造成用户被骇,9.5亿部Android智慧型手机皆曝露风险。
Zimperium旗下的zLabs安全研究副总裁Joshua J. Drake在Android处理多种常见媒体
格式的媒体函式库“怯场”(Stagefright)时发现一个远端程式码执行漏洞。由于该公司
预计在8月初的美国黑帽骇客大会(BlackHat USA)及DEF CON 23公布这项漏洞的细节,因
此只简单点出,媒体处理很重视时间元素,因而这个以原生式程式码(C++)实作的函式
库比其他以Java写成的函式库更容易出现内存毁损。
Stagefright中的漏洞可让骇客经由多种不同方法入侵Android装置,在最严重的攻击途径
中,攻击者只需要知道用户手机号码,经由多媒体短信(MMS)变造过的多媒体档案即可
入侵用户手机,并远端执行程式码。精心设计的攻击甚至能在使用者看到讯息前将之删除
,用户只会看到讯息通知。
研究人员指出,鱼叉式目标攻击中,受害者得点选文字短信中夹带的恶意连结或开启PDF
档。相较之下,利用这个Android漏洞,骇客不用和用户有任何互动就可发动攻击,而且
攻击者还能消除所有攻击痕迹,让用户难以查觉遭木马程式感染而持续使用手机。
Stagefright中的漏洞共有CVE-2015-1538、CVE-2015-1539、CVE-2015-3824、
CVE-2015-3826、CVE-2015-3827、CVE-2015-3828、CVE-2015-3829。Zimperium 研究人员
指出,95%的Android装置都存在这个漏洞,因而认为这是迄今被发现最危险的Android漏
洞。
Android 2.2以后的作业系统都可能受骇,特别是Jelly Bean以前的版本(约11%)由于攻
击缓解能力不足而有更高的受害风险。安全人员相信,如果PC上的Heartbleed就让人背脊
发凉,这个漏洞还要更严重得多。
Google早先接获Zimperium通报后,已在48小时内制作并发布修补程式。然而由于Android
版本相当分散,修补将相当困难。Zimperium指出,修补漏洞需要升级韧体,但18个月以
上的装置几乎完全无法得到更新。
根据Kantar Worldpanel ComTech统计,目前全球智慧型手机作业系统中Android大约占到
近七成市场。
Zimperium另外指出,Firefox原本也有这项漏洞,不过Firefox 38以后版本已经修补。此
外,SilentCircle的防骇手机Blackphone在其PrivatOS 1.1.7版以后的装置也可免于风险
。Zimperium呼吁用户或企业联络手机厂商或电信业者了解自己的手机是否已有更新。
心得 : 虽然新闻写的好像很严重,好像有这个漏洞就一定会被骇一样。但是我觉得安卓
用户不需要太担心,毕竟重要的个资都集中在iOS上,骇进我们这种小老百姓的手机又有
什么意义呢? 更何况Google在48小时内就已经制作并且发布修补程式了,大部分还在升级
的手机几个月以内就能修补完毕。而超过18个月的手机用户,受惠于安卓的市场竞争,换
台手机也相对于iOS来的更没有负担,更可以掀起一波换机热潮。我个人觉得啦,这个事
件对于整个手机市场绝对是利多的。在这边还是要重申一下,真的不用太恐慌。