安卓平台傳重大安全漏洞 駭客透過影音侵入用戶手機
新網記者歸鴻亭台北特稿
2015/10/3 下午 06:08:15 / 虛擬網路
手機安卓Android平台再傳重大安全漏洞,和英國電訊報(The Telegraph)與網路資安的Threatpost報導,資安公司Zimperiumz zLabs繼今年7月份發現7個Stagefright漏洞之後,近日又公布了2個重大漏洞(Stagefright 2.0)。
 |
| Zimperiumz zLabs網站首頁。(歸鴻亭翻製) |
Zimperiumz zLabs的研究人員發現,Stagefright病毒可以透過簡訊或多媒體訊息散播,被視為Android系統歷來最嚴重的安全漏洞,谷歌(Google)隨後發布修補軟體、防堵漏洞。不料3個月後「Stagefright 2.0」版現身,這次駭客把惡意程式碼編寫在影音檔案當中,以mp3、mp4格式散佈。
 |
| Threatpost報導安卓Android平台再傳重大安全漏洞。(歸鴻亭翻製) |
Zimperium zLabs的研究者約書華‧卓克(Joshua Drake)表示,Stagefright本身並不是一種漏洞,而是安卓操作系統的核心組成框架之一,主要用來處理、播放和記錄多媒體文件。因為Stagefright框架可以處理操作系統接收的任何媒體文件,所以也給駭客提供了多種侵入用戶手機的方法。
今年7月份約書華‧卓克就已經在Stagefright框架中發現了該漏洞的第一個版本,8月15日Stagefright 1.0漏洞就被提交至Google,並在不久之後就予以修復。
 |
| 英國電訊報對此次「Stagefright」病毒的報導。(歸鴻亭翻製) |
約書華‧卓克證實,Android操作系統中發現Stagefright 2.0漏洞,這一漏洞包含兩個bug,可通過MP3音頻及MP4影片,植入來自攻擊者的惡意代碼。這一惡意程式影響廣泛,幾乎所有Android機種都無法倖免,Stagefright 2.0可以影響超過14億Android系統用戶,但目前尚未發現駭客利用它發起攻擊。
他說,它的厲害之處在駭客只需要知道手機號碼,發一條多媒體簡訊就能入侵用戶的手機,在遠端執行代碼讀取、控制手機中的內容,甚至不需要用戶去打開這條簡訊。
除了多媒體文件以外,駭客還可以藉助Stagefright 2.0的另一個管道入侵他人手機:當駭客與攻擊目標身處同一個WiFi網路當中,可以將惡意代碼經由未加密網路植入受害者手機,這種方式省去誘導用戶打開特定多媒體文件的步驟,也可以在完全隱蔽的情況下進行攻擊。
基於安全考慮,Zimperium zLabs並沒有公佈更多Stagefright 2.0漏洞的技術細節,不過已經將其報至Google。