近日,一家安全研究公司声称,安卓系统上存在一处漏洞,足以对几乎所有此类设备产生威胁。依据安全公司F-Secure的说法,今年第一季度,99%的移动端恶意软件都出现在安卓设备上。
近日,一家安全研究公司声称,安卓系统上存在一处漏洞,足以对几乎所有此类设备产生威胁。
据Zimperium表示,该漏洞存在于安卓内置的称之为“Stagefright”的媒体播放工具中。只需向安卓设备发送一条简单的文本消息,黑客就可以取得该设备的全部权限,进而窃取各类数据,包括信用卡或个人信息。
Zimperium向国家公共电台表示,目前为止,该漏洞尚未被人利用。但该公司在网站的一篇博文中表示,95%的安卓设备会受到威胁。
Zimperium表示,他们在今年4月便发现了该处漏洞,并及时通知了谷歌。一位谷歌发言人表示,设备制造商已经收到了补丁文件,但她没有透露更多细节。
而依据国家公共电台的说法,恶意软件可以藏身于发往用户手机的简短视频中。一旦恶意文本被设备接收,就会触发Stagefright的某个内置功能,减少播放视频所需的处理时间,而黑客就在这一过程中取得设备的控制权。
具体的步骤取决于用户安装的即时消息平台。对于使用安卓提供的标准Messenger应用的用户来说,他们只需打开文本消息即会中招,就算不观看视频也是一样。而依据Zimperium的说法,那些使用谷歌Hangouts的用户更是连文本也无需看到。一旦应用收到文本消息,就会自动对视频进行处理,然后就中招了。
谷歌面对这种问题所能采取的措施有限,因为安卓系统的更新需要依赖三星、LG以及华为这类设备制造商进行推送才能完成。这些设备制造商通常都对安卓系统进行自己的修改,而谷歌只能向他们发送更新和补丁文件,无法直接面对最终用户发送。
面对日益增长的恶意软件威胁,谷歌于今年6月宣布启动一项奖励计划,旨在向那些发现、报告甚至修正了漏洞的开发或研究人员进行现金奖励。多年来,谷歌在其他方面开展的类似计划获得了显著成效。2013年,一位名为“Pinkie Pie”的安全领域专家就因为发现Chrome浏览器上一处严重漏洞而获得了公司给予的50000美元奖励。去年,谷歌就针对那些发现Chrome浏览器以及其他谷歌产品漏洞的安全研究人员发放了总计150万美元的奖励。而自2010年以来,公司已经为此支付了超过400万美元。
Zimperium表示,由于设备制造商迟缓的动作,目前大约只有20%至50%的设备接收到了补丁。
虽然Zimperium表示,由于Stagefright漏洞的存在,安卓设备面临极大的风险。但谷歌方面却表示,2014年,安卓设备上安装恶意软件的数量大幅下滑50%。而到了2014年年底,谷歌更表示只有不到1%的安卓设备上安装了“具有潜在危害性”的应用。
依照Zimperium在博客上的说法,今年8月1日,在拉斯维加斯举办的黑帽安全大会上,他们会就Stagefright漏洞的细节进行演示与公开。
