多達(dá) 9.5 億部 Android 手機(jī)容易受到短信黑客攻擊

最新的一系列與 Android 相關(guān)的黑客攻擊和安全故障使消費(fèi)者處于迄今為止最容易受到攻擊的位置：95% 的 Android 手機(jī)容易受到通過(guò)標(biāo)準(zhǔn)多媒體文本傳遞的攻擊，并且在大多數(shù)情況下，消息會(huì)在之前自行刪除用戶甚至意識(shí)到他們已被破壞。

該漏洞最初由 Zimperium zLabs 的安全專家 Joshua Drake 于 2015 年 4 月發(fā)現(xiàn)，據(jù)信該漏洞影響了被認(rèn)為在使用的 10 億部 Android 手機(jī)中的多達(dá) 9.5 億部。主要責(zé)任是媒體播放工具 Stagefright 中的一個(gè) bug，包含在 2.2 以上的所有 Android 版本中。作為一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，黑客可以通過(guò)發(fā)送偽裝成彩信 (MMS) 的漏洞來(lái)利用未經(jīng)修補(bǔ)的 Stagefright 版本，從而訪問(wèn)手機(jī)中通過(guò) Stagefright 權(quán)限可獲得的所有數(shù)據(jù)。

這意味著黑客只需要一個(gè)電話號(hào)碼就可以訪問(wèn)用戶的電話并插入惡意代碼，然后他們就可以竊取照片、視頻，甚至在用戶完全不知情的情況下錄制音頻。更糟糕的是，黑客可以將彩信發(fā)送到任何能夠接受它的應(yīng)用程序，并且有些應(yīng)用程序甚至在用戶收到待處理的消息通知之前就自動(dòng)激活了。其中，Drake 發(fā)現(xiàn) Google Hangouts 是最臭名昭著的，因?yàn)樗鼤?huì)“在你看手機(jī)之前立即觸發(fā)……甚至在你收到通知之前”，讓受害者完全不知道。

一旦獲得許可，黑客就不會(huì)很難以菊花鏈方式進(jìn)行漏洞利用并“提升權(quán)限”，因?yàn)檫@樣的漏洞利用“在 Android 上相當(dāng)容易獲得，有不少是公開(kāi)的”。

“我在 Ice Cream Sandwich Galaxy Nexus 上做了很多測(cè)試……默認(rèn)的 MMS 是消息應(yīng)用程序?Messenger。那個(gè)不會(huì)自動(dòng)觸發(fā)，但如果你查看彩信，它就會(huì)觸發(fā)，你不必嘗試播放媒體或任何東西，你只需要看看它，”德雷克補(bǔ)充道。

德雷克聲稱，盡管谷歌去年春天修補(bǔ)了這個(gè)致命漏洞，但制造商在修補(bǔ)他們的產(chǎn)品方面一直非常遲緩，這是造成如此廣泛漏洞的原因。

資料來(lái)源：福布斯

審核編輯 黃昊宇