相關文章

899df0d57bcaa7a10a415f954dddbb91 網路安全機構Zimperium最近發現了Android手機的一個漏洞,攻擊者可利用該漏洞,在裝置主人沒有察覺的情況下,遠端控制你的手機。這項漏洞存在於Android 2.2到5.1的所有版本,預計會有相當大範圍的Android手機受到影響。Zimperium將在8月份舉行的2015黑帽大會及Def Con駭客大會上詳述這項發現。

發生漏洞的地方,是Android裡頭的多媒體框架(multimedia framework)。在早期,Android採用的多媒體框架為OpenCORE,但是因為架構太過複雜,從Android 2.0開始就改用Stagefright框架,而安全漏洞也是在Stagefright中的多媒體函式庫被發現。

▲現在Stagefright漏洞問題,已經有了自己的LOGO了。

Zimperium表示他們在Stagefright框架中發現了多重的漏洞,而透過這些漏洞,駭客只要有某人的Android手機號碼,然後駭客就可以利用MMS多媒體簡訊的方式,發送一個特定的多媒體檔案,然後對方只要收到這個多媒體簡訊,手機就可以被入侵了。

更嚴重的是,裝置主人甚至永遠都不會知道自己的手機已經被人入侵了。駭客可以在手機主人睡覺的時候發送木馬、瀏覽手機、最終刪除手機被入侵的證據。一旦準備就緒,攻擊者即可在遠端操控手機的麥克風、竊取檔案、查看郵件等等。

新發現的這一漏洞尤其具有危險性,因為它不像網路釣魚等攻擊手段,需要打開攻擊者發送的檔案或連結才會感染,即使是受害者不做任何事情,它也能偷偷地入侵裝置並在使用者發現前將證據抹掉。

至於Google方面,在收到Zimperium提供的相關資料並且確認是漏洞之後,已經給Android Open Source Project進行更新,並向合作夥伴提供可以修補這個漏洞的檔案,因此品牌手機廠商可能也已經開始提供相關的更新了。

不過,根據Forbes他們在昨天向幾家主要Android廠商:HTC、LG、Lenonvo、Motorola、Samsung、Sony詢問何時會提供安全更新,都沒有得到直接的答覆。其中只有HTC在隔了一天表示Google已經提供給他們安全更新,即將會在最近向旗下產品發佈更新。因此,你可以從中發現很多Android手機廠商的系統更新速度相對緩慢,因此也無法保證絕對安全。

不過,Google也表示,現在大多數較新的Android裝置都已經採用了多種混和式的技術來保護系統,並且還有應用沙盒來將使用者資料與其他應用進行區隔,所以漏洞的利用會更加困難。

依照IDC的預測,到今年年底,Android裝置的佔有率將達到79.4%,出貨量達11.5億,遠超蘋果的2.37億出貨量及16.5%佔有率。但是根據安全機構F-Secure的資料,Android也是行動端惡意軟體的首要攻擊目標,99%的惡意軟體都把Android作為攻擊對象。隨著智慧手機在電子商務、支付等方面的使用越來越頻繁,積累的隱私資料越來越多,安全問題必須引起高度重視。

 

資訊來源:venturebeat.comforbes.comcnet.com

 

使用 Facebook 留言

ulyssesric
1.  ulyssesric (發表於 2015年7月29日 09:30)
這麼重大的資安事件,居然沒有人關心! ╯-__-)╯ ╩╩
如果主角換成 iOS,留言早就破三頁了。
而且大部分都會是「You MMS it wrong LOL」之類的留言。
ulyssesric
2.  ulyssesric (發表於 2015年7月29日 09:36)
給所有使用 Android 系統的朋友:
不管你用的手機是哪一款,
都請儘快檢查系統安全更新!

這個安全漏洞是只要你『收到』惡意簡訊就會中標,
不需要打開簡訊、甚至不需要你去操作手機,
只要『收到』就會中標。
就算你把手機放在桌上不去動他,照樣會中標!
不是開玩笑的。

發表回應

謹慎發言,尊重彼此。按此展開留言規則