Android 装置盛行,让世界各地的人能享受智能手机带来的便利,被比喻为 Android 版的 Heartbleed 漏洞 Stagefright 影响高达上亿台 Android 装置。行动装置资安公司公司 Zimperium 发布他们新发现的漏洞,骇客只要透过 MMS 多媒体简讯就能无声无息的夺取手机控制权。
Zimperium 在其部落格表示,骇客只要知道你的电话号码,寄经过特殊变造的 MMS 多媒体简讯给你,就能侵入 Android 手机,取得控制权。更可怕的是还能神不知鬼不觉,侵入系统后就删除讯息,不会让主人察觉。
这次发现的漏洞利用 Android 处理多媒体的 Stagefright 程式库。Stagefright media playback engine 用在播放多媒体档案,用 C++ 撰写,很容易就找到漏洞。再加上权限相当大,接近 root 权限,因此变成锁定的对象。
Zimperium 说,这项漏洞影响范围广大,从 Android 2.2 到 5.1 版本皆受到影响。 而 Zimperium 不只发现漏洞,在四、五月跟 Google 回报修补程式,部分手机厂商已经取得修补程式了。由于 Android 手机的更新机制缘故,部分手机并未收到修补程式,原因是各厂商的更新流程不一。
Zimperium 发现的漏洞竟会影响你意想不到的地方:Firefox 浏览器。Stagefright 漏洞会影响除了 Linux 以外,包括 Firefox OS 的浏览器及操作系统。不过 Mozilla 已经在版本 38 就已经修正了,所以赶快升级 Firefox 浏览器到最新版本吧。
Zimerium 将在 8 月 3 日以及 7 日的 Black Hat US 以及 DEF CON 23 发表详细的入侵方法。回顾先前的资安报导,曾提过美国的克莱斯勒被入侵实验,也要在资安大会发表,八月可说资讯安全很热闹的月份。
相关连结
- Android Stagefright Flaws Put 950 Million Devices at Risk
- 950 million Android phones can be hijacked by malicious text messages
