繼蘋果公司的 App 開發工具近日陷入安全危機之後,其競爭對手 Google 的 Android 操作系統也被爆出存在兩個嚴重的安全漏洞——用戶如果預覽了被感染的音樂或視頻文件,其 Android 設備就會迅速被黑客控制。
這個安全隱患將影響到自2008年發布的1.0版本以來的幾乎所有 Android 設備。
本次發現的安全漏洞主要涉及 Android 操作系統處理多媒體文件時調用的播放引擎 Stagefright。發現該漏洞的移動安全公司 Zimperium 早在今年4月便披露了一系列多達7個 Stragefright 漏洞,這些漏洞讓黑客可以通過發送被感染的多媒體短訊(MMS)來控制用戶的 Android 設備。
Zimperium 公司將最新發現的两個漏洞稱為“Stagefright 2.0”,只要用戶預覽被處理過的 MP3 音頻或 MP4 視頻文件,就會被攻擊者遠程操作,以取得 Android 設備上數據、照片、攝像頭和麥克風的控制權。據 Zimperium 介紹,用戶最有可能被感染的方式是通過網頁瀏覽器訪問這些多媒體文件,然後被引導到受攻擊者控制的網站。此外,由於 Stagefright 庫也被部分媒體播放器使用,所以某些第三方 App 也可能受感染。
第一個新漏洞的編號為“CVE-2015-6602”,它將影響從2008年Android 1.0 操作系統推出以來的幾乎所有 Android 設備;第二個新漏洞編號為“CVE-2015-3876”,會影響到 Android 5.0 及以上版本系統的設備,且使得上述安全問題更易被觸發。
今年8月,Zimperium 公司就已經將這两個新漏洞通知給 Google,而 Google 最新推出的 Android 6.0 操作系統也已經內置了安全修補程序,並將在10月5日向其 Nexus 系列設備推送該漏洞的修補程序。不過,其他品牌的基於 Android 的操作系統的手機或平板電腦則需要等待品牌商自行發布相關修補程序。
聲音
大部分 Android 設備,包括所有新設備,都擁有多項技術讓黑客的入侵變得更困難。另外,Android 設備還包含一款「沙箱」應用,用來保護用戶數據和設備上的其他應用。
Android、Windows 和 Mac 版 Mozilla Firefox,以及 FirefoxOS 均受這些漏洞影響,因為它們都使用了 Stagefright 框架。