端聞

Android安全漏洞:聽歌播視頻可能中招


Android 系統近日被爆出存在兩大安全漏洞,受影響用戶可能超過10億。攝:Beck Diefenbach/REUTERS
Android 系統近日被爆出存在兩大安全漏洞,受影響用戶可能超過10億。攝:Beck Diefenbach/REUTERS

繼蘋果公司的 App 開發工具近日陷入安全危機之後,其競爭對手 Google 的 Android 操作系統也被爆出存在兩個嚴重的安全漏洞——用戶如果預覽了被感染的音樂或視頻文件,其 Android 設備就會迅速被黑客控制。

這個安全隱患將影響到自2008年發布的1.0版本以來的幾乎所有 Android 設備。

發現該漏洞的移動安全公司 Zimperium

本次發現的安全漏洞主要涉及 Android 操作系統處理多媒體文件時調用的播放引擎 Stagefright。發現該漏洞的移動安全公司 Zimperium 早在今年4月便披露了一系列多達7個 Stragefright 漏洞,這些漏洞讓黑客可以通過發送被感染的多媒體短訊(MMS)來控制用戶的 Android 設備。

Zimperium 公司將最新發現的两個漏洞稱為“Stagefright 2.0”,只要用戶預覽被處理過的 MP3 音頻或 MP4 視頻文件,就會被攻擊者遠程操作,以取得 Android 設備上數據、照片、攝像頭和麥克風的控制權。據 Zimperium 介紹,用戶最有可能被感染的方式是通過網頁瀏覽器訪問這些多媒體文件,然後被引導到受攻擊者控制的網站。此外,由於 Stagefright 庫也被部分媒體播放器使用,所以某些第三方 App 也可能受感染。

第一個新漏洞的編號為“CVE-2015-6602”,它將影響從2008年Android 1.0 操作系統推出以來的幾乎所有 Android 設備;第二個新漏洞編號為“CVE-2015-3876”,會影響到 Android 5.0 及以上版本系統的設備,且使得上述安全問題更易被觸發。

今年8月,Zimperium 公司就已經將這两個新漏洞通知給 Google,而 Google 最新推出的 Android 6.0 操作系統也已經內置了安全修補程序,並將在10月5日向其 Nexus 系列設備推送該漏洞的修補程序。不過,其他品牌的基於 Android 的操作系統的手機或平板電腦則需要等待品牌商自行發布相關修補程序。

10+
據估計,本次受影響的 Android 設備超過10億台。

聲音

大部分 Android 設備,包括所有新設備,都擁有多項技術讓黑客的入侵變得更困難。另外,Android 設備還包含一款「沙箱」應用,用來保護用戶數據和設備上的其他應用。

Google 在Stagefright 1.0 被披露後聲明

Android、Windows 和 Mac 版 Mozilla Firefox,以及 FirefoxOS 均受這些漏洞影響,因為它們都使用了 Stagefright 框架。

移動安全公司 Zimperium

Android

是一個以 Linux 為基礎的開放源碼流動操作系統,主要用於智能手機和平板電腦,由 Google 成立的 Open Handset Alliance(OHA,開放手機聯盟)持續領導與開發中。目前 Google 發布 Android 的最新正式版本為 Android 6.0 Marshmallow。Android 系統最初由安迪•魯賓(Andy Rubin)等人開發製作,最初開發這個系統的目的是創建一個數碼相機的先進操作系統;但是後來發現市場需求不夠大,加上智能手機市場快速成長,於是 Android 被改造為一款面向智能手機的操作系統。於2005年7月11日被美國科技企業 Google 收購。2007年11月,Google 與84家硬件製造商、軟件開發商及電信營運商成立開放手機聯盟來共同研發改良 Android 系統,隨後,Google 以 Apache 免費開放源碼許可證的授權方式,發布了Android的原始碼,讓生產商推出搭載 Android 的智能手機,Android 操作系統後來更逐漸拓展到平板電腦及其他領域上。(資料來自维基百科)

來源:ZimperiumTheNextWeb36氪新浪科技

2017 年 7 月,端傳媒啟動了對深度內容付費的會員機制。在此之前刊發的深度原創報導,都會免費開放,歡迎轉發,也期待你付費支持我們

如果你喜歡,就分享給更多人吧