网络小说排行榜,琅琊榜海宴小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

安卓滴血！一條彩信可控制手機，影響95%設(shè)備

以色列移動信息安全公司 Zimperium 研究人員 Joshua Drake 在 Android 系統(tǒng)中發(fā)現(xiàn)了多處安全漏洞，Android 2.2到5.1的所有版本上均存在此漏洞，預計會有95%的Android設(shè)備受到影響。只需簡單的一條彩信，黑客就可能完全控制用戶手機。

創(chuàng)新互聯(lián)是一家以網(wǎng)絡技術(shù)公司，為中小企業(yè)提供網(wǎng)站維護、網(wǎng)站制作、成都網(wǎng)站建設(shè)、網(wǎng)站備案、服務器租用、申請域名、軟件開發(fā)、重慶小程序開發(fā)公司等企業(yè)互聯(lián)網(wǎng)相關(guān)業(yè)務，是一家有著豐富的互聯(lián)網(wǎng)運營推廣經(jīng)驗的科技公司，有著多年的網(wǎng)站建站經(jīng)驗，致力于幫助中小企業(yè)在互聯(lián)網(wǎng)讓打出自已的品牌和口碑，讓企業(yè)在互聯(lián)網(wǎng)上打開一個面向全國乃至全球的業(yè)務窗口：建站聯(lián)系電話：028-86922220

“安卓滴血”

漏洞發(fā)現(xiàn)于原生的 Android 的 Stagefight 媒體庫上，堪稱移動世界的“心臟滴血”。幾乎所有 Android 設(shè)備都含有此安全問題，攻擊者會向那些沒有安裝補丁的用戶發(fā)動針對性攻擊，受害者的隱私、數(shù)據(jù)將會暴露在風險之中。

這些截圖是Nexus5(最新版本)，5.1.1 Android Lollipop

Android 2.2 到 5.1 的所有版本都存在安全風險。(大約11%的設(shè)備)搭載 Android Jelly Bean 4.3 之前版本，風險是最大的。由于漏洞的緩解措施不當所致。

補丁已提交

在這個特殊時刻，zimperium報告了該漏洞的詳情，同時也向谷歌提交補丁?？紤]到問題的嚴重性，谷歌在48小時內(nèi)就將該補丁應用到谷歌內(nèi)部的Android代碼庫中。然而不幸的是這只是一個開始，之后將會迎來一個漫長的升級部署過程。

zimperiumzlabsVP平臺的研究與開發(fā)者Joshua J. Drake潛入Android代碼最深的角落，發(fā)現(xiàn)這是迄今為止我們認為最嚴重的安卓漏洞。Drake表示會有6個影響9.5億Android設(shè)備的漏洞，他將在下周拉斯維加斯的黑帽會議上進行演示。

危險的彩信

在所有攻擊途徑中，彩信是最危險的，因為它不需要用戶的任何互動。

攻擊者只需要知道手機號，便可以通過帶有一個特殊媒體文件的彩信進行遠程代碼執(zhí)行。這是一個相當成功的攻擊武器。例如，用戶在睡覺時把手機靜音，黑客就可以發(fā)送一條惡意彩信。黑客利用該彩信發(fā)動攻擊后，還可以將這條彩信刪除，這樣用戶就永遠也不會知道自己的手機被入侵。

“這是一個令人討厭的攻擊向量(vector)”，Drake說。

stagefright不只是用來播放媒體文件的，還能自動產(chǎn)生縮略圖(thumbnail)，或者從視頻或音頻文件中抽取元數(shù)據(jù)，如長度、高度、寬度、幀頻、頻道和其他類似信息。

這意味著無需用戶執(zhí)行一些惡意多媒體文件，只要復制這些文件，黑客即可利用stagefright漏洞發(fā)動攻擊。

“在一些設(shè)備上,Stagefight有系統(tǒng)級的訪問權(quán)限,很接近root權(quán)限，所以攻擊者可以很容易的獲得root權(quán)限和系統(tǒng)上運行的信息，從而監(jiān)控通信設(shè)備或者做一些骯臟的事情?！?/p>

你可能會說，我們有沙箱保護，沙箱會將其過濾掉;但實際上并沒有，它還可以訪問互聯(lián)網(wǎng)。Android設(shè)備有一個特殊的服務，它允許(Stagefight)連接到互聯(lián)網(wǎng)。

Drake推測，Stagefight高級的權(quán)限和網(wǎng)絡訪問是為了滿足某些類型的數(shù)字版權(quán)管理處理或流媒體播放。他把mpeg4文件的特征元數(shù)據(jù)處理看做咄咄逼人和雜亂的行為，這樣一來攻擊者可以在后臺默默地觸發(fā)利用。

Stagefight是一個糟糕的設(shè)計和實現(xiàn)，Drake發(fā)現(xiàn)了大約十幾個問題，其中一半是嚴重的遠程代碼執(zhí)行漏洞，其他的不太嚴重，不存在遠端控制設(shè)備的影響。

谷歌回應

對此，谷歌在一封電子郵件聲明中對德雷克的貢獻表示感謝，并證實這些補丁已經(jīng)提供給合作伙伴。

谷歌還稱，

“大部分Android設(shè)備，包括所有新設(shè)備，都擁有多項技術(shù)讓黑客的入侵變得更困難。另外，Android設(shè)備還包含一款‘沙箱’應用，用來保護用戶數(shù)據(jù)和設(shè)備上的其他應用。”

漏洞修復

通過OTA更新，Android補丁到達終端用戶手中往往需要幾個月時間。因為廠商首先要把谷歌的代碼置入自己的代碼庫中，然后為自己的各種型號設(shè)備建立新的固件版本，測試后再與移動運營商合作來發(fā)布更新。而且，如果設(shè)備超過18個月就徹底停止接收更新，因此對于新發(fā)現(xiàn)的安全漏洞毫無抵抗之力。

如果你是一個企業(yè)、終端用戶或設(shè)備制造商，請和運營商聯(lián)系以查明您的設(shè)備是否已經(jīng)以具有更新補丁。如果你擁有Android任何版本，你可能會受到影響，我們鼓勵你下載唾手可得的補丁。

網(wǎng)站標題：安卓滴血！一條彩信可控制手機，影響95%設(shè)備
瀏覽地址：http://fisionsoft.com.cn/article/ccepepi.html

新聞中心

其他資訊