近日,一家安全研究公司聲稱,安卓系統上存在一處漏洞,足以對幾乎所有此類設備產生威脅。依據安全公司F-Secure的說法,今年第一季度,99%的移動端惡意軟件都出現在安卓設備上。
近日,一家安全研究公司聲稱,安卓系統上存在一處漏洞,足以對幾乎所有此類設備產生威脅。
據Zimperium表示,該漏洞存在於安卓內置的稱之爲“Stagefright”的媒體播放工具中。只需向安卓設備發送一條簡單的文字消息,黑客就可以取得該設備的全部權限,進而竊取各類數據,包括信用卡或個人資訊。
Zimperium向國家公共電臺表示,目前爲止,該漏洞尚未被人利用。但該公司在網站的一篇博文中表示,95%的安卓設備會受到威脅。
Zimperium表示,他們在今年4月便發現了該處漏洞,並及時通知了谷歌。一位谷歌發言人表示,設備製造商已經收到了補丁檔案,但她沒有透露更多細節。
而依據國家公共電臺的說法,惡意軟件可以藏身於發往用戶手機的簡短視頻中。一旦惡意文字被設備接收,就會觸發Stagefright的某個內置功能,減少播放視頻所需的處理時間,而黑客就在這一過程中取得設備的控制權。
具體的步驟取決於用戶安裝的即時消息平臺。對於使用安卓提供的標準Messenger應用的用戶來說,他們只需開啟文字消息即會中招,就算不觀看視頻也是一樣。而依據Zimperium的說法,那些使用谷歌Hangouts的用戶更是連文字也無需看到。一旦應用收到文字消息,就會自動對視頻進行處理,然後就中招了。
谷歌面對這種問題所能採取的措施有限,因爲安卓系統的更新需要依賴三星、LG以及華爲這類設備製造商進行推送才能完成。這些設備製造商通常都對安卓系統進行自己的修改,而谷歌只能向他們發送更新和補丁檔案,無法直接面對最終用戶發送。
面對日益增長的惡意軟件威脅,谷歌於今年6月宣佈啓動一項獎勵計劃,旨在向那些發現、報告甚至修正了漏洞的開發或研究人員進行現金獎勵。多年來,谷歌在其他方面開展的類似計劃獲得了顯著成效。2013年,一位名爲“Pinkie Pie”的安全領域專家就因爲發現Chrome瀏覽器上一處嚴重漏洞而獲得了公司給予的50000美元獎勵。去年,谷歌就針對那些發現Chrome瀏覽器以及其他谷歌產品漏洞的安全研究人員發放了總計150萬美元的獎勵。而自2010年以來,公司已經爲此支付了超過400萬美元。
Zimperium表示,由於設備製造商遲緩的動作,目前大約只有20%至50%的設備接收到了補丁。
雖然Zimperium表示,由於Stagefright漏洞的存在,安卓設備面臨極大的風險。但谷歌方面卻表示,2014年,安卓設備上安裝惡意軟件的數量大幅下滑50%。而到了2014年年底,谷歌更表示只有不到1%的安卓設備上安裝了“具有潛在危害性”的應用。
依照Zimperium在博客上的說法,今年8月1日,在拉斯維加斯舉辦的黑帽安全大會上,他們會就Stagefright漏洞的細節進行演示與公開。
