安全研究機構 Zimperium 近日公布了他們所發現在Android 系統上,一個名叫「Stagefright」 的新漏洞,而這個漏洞的可怕在於,你就算打開一個 mp3 檔案也可能令手機被病毒感染。
這是 Zimperium 之前就發現過Stagefright漏洞的 2.0 版。該公司今年4月 發現的 第一版漏洞,可感染 1.0 版以上的 Android 系統,而現在發現的這個漏洞,則可以感染到 Android5.0 以上的系統。
這個漏洞是利用 MP3、MP4 檔案內的中繼資料處理的瑕疵所產生的,只要用戶預覽某個被預先處理過的歌曲或影片,就會被攻擊者利用其中的漏洞來執行遠端遙控的程式碼。根據 Zimperium 的分析,使用者最有可能被感染的方式是使用者利用 Web 瀏覽器去聽這些被處理過的 MP3 或 MP4 檔案,然後駭客就可以把使用者導引到受駭客控制的網站,或者利用中間人攻擊來注入病毒。
此外,由於該漏洞是在 stagefright 程式庫中被發現的,由於這個程式庫其實也被某些媒體播放的App使用,所以就算是一些多媒體播放App也不見得安全(但目前尚未發現案例)。
漏洞的安全更新目前仍在趕工中,Zimperium 已經在今年8月15號將漏洞通知給 Google,按照正常流程,Google將會在下周的 Nexus Security Bulletin 上發表相關的安全更新。
另外根據 Motherboard 的介紹,推出不久的 Android Marshmallow(棉花糖)已經內建了這個漏洞的修補更新,但是目前安裝棉花糖系統的 Android 手機顯然不會太多。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!