Android系统曝出高危漏洞 逾十亿手机存被黑风险
凤凰科技讯 北京时间10月2日消息,据《财富》杂志网络版报道,安全研究人员周四宣布,他们在谷歌Android系统中发现了两个高危漏洞,逾10亿部Android设备面临被黑的风险。
研究人员称,这意味着“几乎每部Android设备”都受到了影响,从Android 1.0设备到最新Android 5.0设备。
攻击者可以利用这些漏洞欺骗用户访问含有恶意MP3或MP4文件的网站。一旦用户预览了受感染的多媒体文件(一般包装成音乐或视频),用户的个人电脑就会迅速被入侵。该问题涉及到Android如何通过媒体播放引擎Stagefright处理这些文件的元数据。
这并不是研究人员首次发现这部分Android代码存在被大范围入侵的风险。今年初,发现这一漏洞的移动安全公司Zimperium zLabs披露了7个严重Stragefright漏洞。这些漏洞能够令黑客通过一条受感染多媒体文本信息劫持多达9.5亿部Android设备。
最新漏洞被研究人员称之为“Stragefright 2.0”,和首批公布的Stragefright漏洞类似,它能够允许黑客取得对受感染设备的控制权,并访问设备上的数据、照片、摄像头以及麦克风。总体来说,由于新漏洞影响的设备更多,引发的问题更为广泛。
首个新漏洞被标记为CVE-2015-6602,它能影响自2008年第一代Android系统发布后所推出的几乎每一部Android设备;第二个新漏洞被标记为CVE-2015-3876,影响运行Android 5.0及以上版本的设备,而且会让这些问题更易触发。
Zimperium创始人兼董事长祖克·阿拉哈姆(Zuk Avraham)隐藏了特定信息,以防止其他人利用这一漏洞,但他将新漏洞与第一代Stragefright进行了比较。“这是一个同样严重的漏洞,”他表示,“能够产生相同的破坏力。”
谷歌发言人在一封电邮中称,公司已开发了补丁,正等待推送。“包括Zimperium报告的漏洞在内的问题,将在10月5日推出的Android月度安全更新中予以修复,”该发言人称。这就意味着,谷歌将从10月5日开始面向Nexus设备公开推送补丁。
谷歌发言人称,公司已经在9月10日向其Android制造商合作伙伴和运营商提供了修复方案,目前正与后者合作“尽快推送更新”。现在还没有这一漏洞被黑客利用的报道出现。(编译/箫雨)