写点什么

Android 的“Stagefright”缺陷置数亿用户于危险之中

2015 年 8 月 24 日

在几个严重的缺陷被公开后,Google 已迅速采取应对措施安抚用户。

其中 Google Stagefright 媒体播放引擎的多远程代码扩展(Media Playback Engine Multiple Remote Code Execution)缺陷允许攻击者经彩信(MMS)向 Android 设备上的这个引擎发送媒体文件,以此发起攻击。而这个 Stagefright 引擎本身是负责处理多个流行的媒体格式的。

攻击者能窃取受感染手机上的数据,并挟持麦克风和摄像头。

Android 是当前最流行的移动操作系统,这意味着,数亿人手中运行着的Android 2.2 或更高版本的手机存在被攻击的危险。

Zimperium 的移动安全专家 Joshua Drake

一次成功的破坏性攻击,甚至能够在你看到这条彩信之前就自我删除了,你只会看到一条提示信息。这不像鱼叉式钓鱼攻击那样,受害者需要打开来自攻击者的 PDF 文件或链接。这个缺陷会在你晚上熟睡的时候就被触发,接着攻击者在你手机上做完手脚后,会清理掉所有痕迹后才离开。第二天醒来,你还是像往常一样玩手机——被植入木马的手机。

Zimperium 提到:“Google 迅速采取了措施,在 48 小时内就在内部代码分支上打了补丁,但是不幸的是,这只是个开始,因为要将补丁部署到用户的手机上还需要走漫长的流程。”

NPR 则报道,能否部署这个最新的补丁,就取决于Google 将最新的Android OS 交给智能手机/ 平板电脑厂商后,这些厂商是否愿意去更新或应用这个补丁了。

Silent Circle他们的Blackphone 在几周前就已经打了补丁。同样, CyanogenMod 在几周前,已经在 CM12.0 和 12.1 里打了补丁。而 Mozilla 也已经在 Firefox 38 里修复该漏洞。而一些手机厂商则还在等待官方的正式更新。

安全软硬件厂商 Sophos ,Google Nexus 手机的用户可能已经是安全的了,但对于其他厂商的产品,除非他们公开声明,否则还不能确定他们的手机是否已经打了补丁。而Zimperium 则对详细的统计报告暂时保密,直到8 月5 日的 Black Hat USA 大会的时候,才会公开。

Google Android 安全部门的首席工程师 Andrew Ludwig

更新补丁确实是最终的办法。但在整个安全技术的多层栈式体系中,它不应该是第一和唯一的一种安全手段。

对于高级缺陷利用的缓解技术,我持乐观态度,因为当补丁是唯一选择的时候,这些技术能帮助我们迅速定位并解决问题,保护用户的设备。我也希望能深入研究这些技术,并利用他们避免 Android 或其他平台被恶意利用。

要避免自己 Android 设备受到 Stagefright 缺陷的影响,用户首先要做的,就是在手机的信息类应用里禁用“自动获取”彩信和 Google Hangouts 这些选项。毕竟,该缺陷是存在于 Stagefright 媒体库里面,所以只有通过彩信才能发起攻击。

在 Google 将该缺陷等级定义为“高”后,Ludwig 就提醒: “人们通常有一个错误的假设,就是所有的软件Bug 都会被攻击者恶意利用。但事实上,大部分Bug 都不能被利用。”

此外,Google 已经宣布了他们的 Android 安全奖励计划,鼓励广大研究人员去验证那些可被利用的缺陷,对能够进行远程入侵的开发者,将奖励最高 30,000 美元奖金。

查看英文原文: Android ‘Stagefright’ Vulnerabilty puts Millions at Risk


感谢张龙对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群)。

2015 年 8 月 24 日 19:021092

评论

发布
暂无评论
发现更多内容

别在网上乱找代码了,找了一段代码突然爆了!!!

导导

Java

来了来了!Docker安装及运行原理

程序员的时光

Java Docker 微服务

金融行业区块链技术应用有了“安全符”

CECBC区块链专委会

搭乘政策红利“快车” 欧科云链助力区块链人才培养

CECBC区块链专委会

【写作群星榜】7.24~7.31 写作平台优秀作者 & 文章排名

InfoQ写作平台官方

写作平台 排行榜

Java七种排序算法以及实现

狸猫换太子

Java 排序算法 实现

今天你内卷了吗?

池建强

个人成长 内卷化

零代码可视化开发平台iVX是什么?

代码制造者

编程语言 可视化 零代码 iVX

密码朋克的社会实验(三):比特币发明了什么

腾讯安全云鼎实验室

比特币 区块链 密码学

最牛逼的Java框架,没有之一

我是苞谷

数据结构与算法之排序

shirley

排序算法

如何进行需求梳理及埋点方案设计

易观大数据

职场求生攻略答疑篇之 2 —— 无所适从的向上沟通

臧萌

Go: 并发访问 Map — Part III

陈思敏捷

go golang 并发 map sync

新生必备清单:不想成为虚度青春的“小透明”,手机应该怎样选?

脑极体

机器学习基石第三节 学习笔记

半亩房顶

Machine Learning

秒杀系统

俊俊哥

秒杀

机器学习基石第五节 学习笔记

半亩房顶

Machine Learning

架构师训练营第九周学习总结

张明森

什么是算法的大O表示法

码农神说

算法 时间复杂度 Java算法 大O

机器学习基石第四节 学习笔记

半亩房顶

Machine Learning

这16道Redis最常见面试问题,你能回答上来几个?

火羊哥

Java

格一格你的情欲念

王进行

小伙伴想写个 IDEA 插件么?这些 API 了解一下!

程序员小航

IDEA idea插件 教程 API IntelliJ IDEA

机器学习基石第二节 学习笔记

半亩房顶

Machine Learning

我收集的 3 个企业经营“失败”案例

泰稳@极客邦科技

JVM系列:通过一个例子分析JIT的汇编代码

简爱W

30岁的二三事

大唐小生

总结 个人感悟

dubbo-go 中使用 sentinel

apache/dubbo-go

golang dubbo sentinel

【面试必问】Spring中的事务管理详解

只喝纯牛奶

JVM参数手册

Rayjun

JVM GC

Android的“Stagefright”缺陷置数亿用户于危险之中-InfoQ