Android 再現重大漏洞,如何防范?
VICE 的一篇報道證實,Zimperium zLabs 的研究者 Joshua Drake 在 Android 操作系統中發現 Stagefright 2.0 漏洞。這一漏洞包含兩個 bug,可通過 MP3 音頻及 MP4 視頻,植入來自攻擊者的惡意代碼。Stagefright 2.0 可以影響 14 億 Android 系統用戶,但值得慶幸的是,目前暫未發現黑客利用它發起攻擊。
這已不是 Stagefright 的第一個漏洞
Stagefright 本身并不是一種漏洞,而是 Android 操作系統的核心組成框架之一,主要用來處理、播放和記錄多媒體文件。因為 Stagefright 框架可以處理操作系統接收的任何媒體文件,所以也給黑客提供了多種侵入用戶手機的方法。
在今年 7 月份,Joshua Drake 就已經在 Stagefright 框架中發現了該漏洞的第一個版本,不過它的工作原理與 Stagefright 2.0 版本漏洞不同,我們也曾進行報道:
它的厲害之處在于,黑客只需要知道你的手機號碼,發一條彩信就可以入侵用戶的手機,在遠端執行代碼讀取、控制你手機中的內容,甚至不需要你去打開這條彩信。
</blockquote>不過在 8 月 15 日,Stagefright 1.0 漏洞就被提交至 Google,在被發現不久之后就已經修復。
除了多媒體文件以外,黑客還可以借助 Stagefright 2.0 的另一個渠道入侵他人手機:當黑客與攻擊目標身處同一個 WiFi 網絡當中(比如咖啡店的公共 WiFi),可以將惡意代碼經由未加密網絡植入受害者手機,省去了誘導用戶打開特定多媒體文件的步驟,也可以在完全隱蔽的情況下進行攻擊。
手機廠商如何應對?
基于安全考慮,Zimperium 并沒有公布更多 Stagefright 2.0 漏洞的技術細節,不過已經將其上報至 Google。Google 發言人表示,他們將在 10 月 5 日向 Nexus 手機用戶推送更新,封堵漏洞。剛剛發布的 Nexus 5X 和 Nexus 6P 手機出廠時預裝 Stagefright 2.0 補丁。
微博用戶 Zackbuks 今早發布消息稱索尼已經推送了 23.4.A.1.232 版本固件,升級后經過 Stagefright Detector 檢測,可以有效避免受到漏洞影響。
還有一些 Moto X 用戶表示早在 9 月末就已經收到了版本號為 222.27.5 的 OTA 補丁更新。
如何避免攻擊?
我們已經知道,黑客可以通過公共 WiFi、MP3/MP4 多媒體文件、來路不明的網頁發起攻擊,因此在安裝補丁之前,Android 用戶應該注意:
不要點擊來路不明的網頁。這些網頁可能會包含被植入了惡意代碼的多媒體文件,所以在瀏覽網站時要注意甄別網頁來源。
</li>避免使用公共 WiFi。當你的手機連入公共 WiFi 后,黑客總有辦法入侵你的手機,因此切斷惡意代碼傳播的渠道是一種明智的選擇。
</li>及時更新系統。不更新操作系統,再好的安全補丁也不會為你的手機提供防御。
</li> </ol>雖然 Stagefright 2.0 漏洞將 14 億用戶變成了潛在受害者,但是好在各大手機廠商似乎都已知情,并著手提供解決方案,所以只要在日常使用中多加注意,該漏洞并不會演變為大的安全危機。
題圖來自:Wikipedia
稿源: 愛范兒本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!