事件背景
網路安全公司Zimperium研究人員27日警告,全球套用最廣泛的移動設備作業系統之一安卓(Android)存在“致命”安全漏洞,“黑客”只需簡單傳送一條彩信便能在用戶毫不知情的情況下完全控制手機。
事件經過
入侵不需用戶打開彩信
Zimperium當天在部落格發帖說,公司研究人員喬舒亞·德雷克在安卓平台的核心組成部分,即主要用來處理、播放和記錄多媒體檔案的Stagefright框架中發現多處安全漏洞。“黑客”只需知道用戶手機號碼,便可通過傳送彩信的方式遠程執行惡意代碼。具體而言,用戶接收彩信後通過瀏覽器下載一個特製媒體檔案,“黑客”就可以發動攻擊。最可怕的是,Stagefright框架不只用來播放媒體檔案,還能自動產生縮略圖或從視頻或音頻檔案中抽取元數據,這意味著“黑客”可以在用戶完全不打開或閱讀彩信的情況下入侵手機,甚至趕在用戶看到這條彩信前將其刪除,神不知鬼不覺地“黑”掉手機,繼而遠程竊取檔案、查收電郵乃至盜取用戶名和密碼等信息,而用戶對這一切全然不知。“這類攻擊的目標可以是任何人,”Zimperium公司說,“這些漏洞極其危險,因為它們無需受害人採取任何行動。”
事件結果
這家公司先前已將這些安全漏洞通報給谷歌公司,同時向後者提供了自行開發的補丁程式。“谷歌行動及時,48小時內便在內部代碼庫套用了補丁程式,”Zimperium公司說,“不過,這只是個開始,更新部署將是非常漫長的過程。”
事件影響
谷歌已把補丁程式提供給合作夥伴,但補丁到達終端用戶手中往往需要幾個月時間。Zimperium公司說,他們將於下月初在美國拉斯韋加斯舉行的全球信息安全領域頂尖峰會“黑帽大會”上發布更多相關信息。