安卓曝致命漏洞 黑客發(fā)彩信便可控制手機

網(wǎng)絡(luò )安全公司Zimperium研究人員２７日警告，全球應用最廣泛的移動(dòng)設備操作系統之一安卓（Android）存在“致命”安全漏洞，“黑客”只需簡(jiǎn)單發(fā)送一封彩信便能在用戶(hù)毫不知情的情況下完全控制手機。

彩信入侵

Zimperium當天在博客發(fā)帖說(shuō)，公司研究人員喬舒亞·德雷克在安卓平臺的核心組成部分，即主要用來(lái)處理、播放和記錄多媒體文件的Stagefright框架中發(fā)現多處安全漏洞。“黑客”只需知道用戶(hù)手機號碼，便可通過(guò)發(fā)送彩信的方式遠程執行惡意代碼。具體而言，用戶(hù)接收彩信后通過(guò)瀏覽器下載一個(gè)特制媒體文件，“黑客”就可以發(fā)動(dòng)攻擊。

最可怕的是，Stagefright框架不只能用來(lái)播放媒體文件，還能自動(dòng)產(chǎn)生縮略圖或從視頻或音頻文件中抽取元數據，這意味著(zhù)“黑客”可以在用戶(hù)完全不打開(kāi)或閱讀彩信的情況下入侵手機，甚至趕在用戶(hù)看到這條彩信前將其刪除，神不知鬼不覺(jué)地“黑”掉手機，繼而遠程竊取文件、查收電郵乃至盜取用戶(hù)名和密碼等信息，而用戶(hù)對這一切全然不知。

“這類(lèi)攻擊的目標可以是任何人，”Zimperium公司說(shuō)，“這些漏洞極其危險，因為它們無(wú)需受害人采取任何行動(dòng)。”

涉及面廣

按這家公司的說(shuō)法，Stagefright框架的安全漏洞波及安卓多個(gè)版本，由于更新較慢，預計當前約有９５％、即多達９.５億部使用安卓系統的智能手機受到影響。

這家公司先前已將這些安全漏洞通報給谷歌公司，同時(shí)向后者提供了自行開(kāi)發(fā)的補丁程序。

“谷歌行動(dòng)及時(shí)，４８小時(shí)內便在內部代碼庫應用了補丁程序，”Zimperium公司說(shuō)，“不過(guò)，這只是個(gè)開(kāi)始，更新部署將是非常漫長(cháng)的過(guò)程。”

目前，谷歌已把補丁程序提供給合作伙伴，但補丁到達終端用戶(hù)手中往往需要幾個(gè)月時(shí)間。

Zimperium公司說(shuō)，他們將于下月初在美國拉斯韋加斯舉行的全球信息安全領(lǐng)域頂尖峰會(huì )“黑帽大會(huì )”上發(fā)布更多相關(guān)信息。（閆潔）