继苹果公司的 App 开发工具近日陷入安全危机之后,其竞争对手 Google 的 Android 操作系统也被爆出存在两个严重的安全漏洞——用户如果预览了被感染的音乐或视频文件,其 Android 设备就会迅速被黑客控制。
这个安全隐患将影响到自2008年发布的1.0版本以来的几乎所有 Android 设备。
本次发现的安全漏洞主要涉及 Android 操作系统处理多媒体文件时调用的播放引擎 Stagefright。发现该漏洞的移动安全公司 Zimperium 早在今年4月便披露了一系列多达7个 Stragefright 漏洞,这些漏洞让黑客可以通过发送被感染的彩信(MMS)来控制用户的 Android 设备。
Zimperium 公司将最新发现的两个漏洞称为“Stagefright 2.0”,只要用户预览被处理过的 MP3 音频或 MP4 视频文件,就会被攻击者远程操作,以取得 Android 设备上数据、照片、摄像头和麦克风的控制权。据 Zimperium 介绍,用户最有可能被感染的方式是通过网页浏览器访问这些多媒体文件,然后被引导到受攻击者控制的网站。此外,由于 Stagefright 库也被部分媒体播放器使用,所以某些第三方 App 也可能受感染。
第一个新漏洞的编号为“CVE-2015-6602”,它将影响从2008年Android 1.0 操作系统推出以来的几乎所有 Android 设备;第二个新漏洞编号为“CVE-2015-3876”,会影响到 Android 5.0 及以上版本系统的设备,且使得上述安全问题更易被触发。
今年8月,Zimperium 公司就已经将这两个新漏洞通知给 Google,而 Google 最新推出的 Android 6.0 操作系统也已经内置了安全补丁,并将在10月5日向其 Nexus 系列设备推送该漏洞的补丁。不过,其他品牌的基于 Android 的操作系统的手机或平板电脑则需要等待品牌商自行发布相关补丁。
声音
大部分 Android 设备,包括所有新设备,都拥有多项技术让黑客的入侵变得更困难。另外,Android 设备还包含一款“沙箱”应用,用来保护用户数据和设备上的其他应用。
Android、Windows 和 Mac 版 Mozilla Firefox,以及 FirefoxOS 均受这些漏洞影响,因为它们都使用了 Stagefright 框架。