看起来Stagefright再次罢工。
安装在运行Android操作系统版本2.2到4之间的手机的安全漏洞现在已经开始攻击运行Android 5.0及更高版本的设备。
Zimperium zLabs研究副总裁Joshua J. Drake在Android中发现了另一个名为Stagefright 2.0的安全问题。 Drake声称在处理特制的MP3音频和MP4视频文件时可能会发生两个漏洞。
$config[code] not found显然,在MP3和MP4文件中是一个允许远程代码执行(RCE)的功能。这基本上意味着受感染的MP3和MP4文件可以让某人访问您的Android手机上的任务。即使只是预览恶意歌曲或视频,也可能会使您的手机面临风险。
德雷克在他的博客文章中说,对Android手机最脆弱的方法是通过网络浏览器,黑客可能利用这三种不同的方式利用安全漏洞。
首先,攻击者可能会试图让Android用户访问一个真正导致攻击者控制的网站的URL。例如,这可以以广告活动的形式完成。一旦被诱惑,受害者将被暴露于受感染的MP3或MP4文件。
同样,攻击者可以使用第三方应用程序,如媒体播放器。在这种情况下,它是包含这些恶意文件之一的应用程序。
但是第三种可能性是黑客可能采取不同的路线。
比如说,黑客和Android用户正在使用相同的WiFi。然后,黑客不需要欺骗用户访问URL或打开第三方应用程序。相反,他们所要做的就是将漏洞利用注入浏览器使用的用户未加密的网络流量。
最初的Stagefright漏洞 - 今年早些时候Drake也发现了它 - 通过包含恶意软件的短信打开了Android手机漏洞。
如果黑客知道您的电话号码,则可能会发送包含恶意多媒体文件的短信。然后,该文本可以允许黑客访问用户的数据和照片,甚至可以访问手机的相机或麦克风等功能。
用户可能会受到影响,甚至不知道。
在发现漏洞后不久,发布了针对原始Stagefright漏洞的补丁。然而,补丁有一些问题。一些报告表明,在打开彩信时,补丁可能会导致手机崩溃。
德雷克表示,他已向Android通报了这一威胁,并表示Android已迅速进行修复,但他们尚未提供CVE号码来追踪这一最新问题。谷歌将在本周推出的Nexus安全公告中修复Stagefright。
如果您不确定Android设备是否容易受到攻击,可以下载Zimperium Inc. Stagefright Detector应用程序来检查漏洞。
Android Lollipop照片来自Shutterstock
更多内容:Google 2评论▼
