Android 的新漏洞,可能會影響 10 億用戶
Android 系統又被發現了新漏洞,可能你只是打開了一個 MP3 文件,就被暴露於危險之中。這次是兩個可能影響 10 億用戶的安全漏洞,幾乎每台 Android 手機的用戶都可能被感染。
以色列移動安全公司 Zimperium 的安全專家 Joshua J Drake 發布了新的報告,他在Android 系統中發現了兩個漏洞,可能會被駭客利用,欺騙用戶訪問含有惡意 MP3 或 MP4 的網站。當用戶打開被感染的多媒體文件,這台 Android 設備可能就會被執行任何制定的代碼(arbitrary code execution),也就是被駭客所控制。
這兩個漏洞都包含在 Android 系統用於播放媒體文件的引擎 Stagefright 中。
報告顯示,第一個代號為“CVE-2015-6602”的漏洞影響範圍極廣,包括從 2008 年發布的 Android 1.0 系統以來所有的 Android 設備,在打開第三方應用或者運營商預裝應用的時候都可能觸發。第二個漏洞則會影響到搭載 Android 5.0 以上版本的設備。
如果駭客本人和受感染的設備處於同一個網絡之中,比如共享了同一個咖啡館的 Wi-Fi,設備被遠程控制的風險就更高。駭客可以將攻擊代碼植入“受害者”未經加密的網絡訪問中,這樣,即使用戶沒有訪問惡意網站或者預覽多媒體文件,也可以被攻擊。
Zimperium 的安全專家認為至少 9.5 億 Android 用戶可能處於安全風險之中,而這家安全公司的 CTO Zuk Avraham 則表示,可能被影響到的用戶多達 14 億。在接受採訪時他說:“我不能說所有的 Android 手機都是脆弱的,但是絕大多數都是這樣。”
今年七月,同樣是這家安全公司已經報告過一個 Stagefright 漏洞,駭客只需要通過一條信息,就能藉由這個漏洞控制用戶的手機,影響範圍主要是 Android 2.2 以及之後的版本,大約為 1 億台設備。
早些時候,面對用戶手機系統升級緩慢,Google 採取了停止全面支持 Android 4.4 的做法來促使手機用戶更新換代,而在七月的漏洞曝光之後,Google 宣布在一款 Nexus 設備推出的 3 年內或者在 Google Store 購買的設備能在 1 年半內持續得到安全更新。這些安全更新都將開源給其他的 Android 手機廠商。
一位 Google 的發言人表示,針對新漏洞的安全補救將於 10 月 5 日推送給 Nexus 手機的用戶,摩托羅拉的發言人則表示公司將處理這些漏洞,而三星、HTC、索尼、華為等公司還沒有對此事做出回應。
看起來,如果要繼續用 Android 系統的話,最快獲得安全更新的方式是使用Google 的“親兒子” Nexus 系列設備。而蘋果的 iOS 系統可能也沒有那麽安全,前不久剛剛曝出的 XcodeGhost 惡意代碼漏洞,可能感染了超過 1000 個應用。