以色列移動信息安全公司Zimperium研究人員約舒亞·德雷克(JoshuaDrake)在Android系統(tǒng)中發(fā)現(xiàn)了多處安全漏洞,影響當(dāng)前約95%的Android設(shè)備。只需簡單的一條彩信,黑客就可能完全控制用戶手機(jī)。
德雷克在Android平臺的核心組成部分Stagefright中發(fā)現(xiàn)了多處漏洞,Stagefright主要用來處理、播放和記錄多媒體文件。其中一些漏洞允許黑客遠(yuǎn)程執(zhí)行惡意代碼,只需用戶接收一條彩信(MMS),通過瀏覽器下載一個特定視頻文件,或者打開一個嵌入多媒體內(nèi)容的網(wǎng)頁,黑客就可以發(fā)動攻擊。
德雷克還稱,在其他許多情況下,黑客也可能對用戶發(fā)動攻擊,因?yàn)橹灰?a target="_blank">Android平臺接收到任何來源的媒體文件,都要通過Stagefright框架來處理。
Stagefright不只是用來播放媒體文件的,還能自動產(chǎn)生縮略圖(thumbnail),或者從視頻或音頻文件中抽取元數(shù)據(jù),如長度、高度、寬度、幀頻、頻道和其他類似信息。
這意味著無需用戶執(zhí)行一些惡意多媒體文件,只要復(fù)制這些文件,黑客即可利用Stagefright漏洞發(fā)動攻擊。
德雷克不確定有多少應(yīng)用依賴于Stagefright,但他認(rèn)為,任何一款應(yīng)用,只要處理Android上的媒體文件,就需要以某種方式來利用Stagefright。
在所有攻擊途徑中,彩信是最危險的,因?yàn)樗恍枰脩舻娜魏位樱恍?a href="http://guanjiayuan.cn/phone/" target="_blank">手機(jī)接受一條惡意信息即可。
德雷克稱,例如,用戶在睡覺時把手機(jī)靜音,黑客就可以發(fā)送一條惡意彩信。黑客利用該彩信發(fā)動攻擊后,還可以將這條彩信刪除,這樣用戶就永遠(yuǎn)也不會知道自己的手機(jī)被入侵。
德雷克不僅發(fā)現(xiàn)了存在于Stagefright中的這些漏洞,還開發(fā)了必要的補(bǔ)丁程序,并于今年4月和5月初提供給了谷歌。德雷克稱,谷歌對該問題十分重視,在48小時內(nèi)就將該補(bǔ)丁應(yīng)用到谷歌內(nèi)部的Android代碼庫中。
在通過Android開源項(xiàng)目(AOSP)發(fā)布之前,谷歌已經(jīng)提前將該補(bǔ)丁提供了部分合作伙伴設(shè)備廠商。但遺憾的是,德雷克預(yù)計(jì),由于Android更新較慢,當(dāng)前超過95%的Android設(shè)備依然受Stagefright漏洞的影響。即使在谷歌自家的Nexus系類設(shè)備中,目前也只有Nexus6接收到了部分補(bǔ)丁。
通過OTA更新,Android補(bǔ)丁到達(dá)終端用戶手中往往需要幾個月時間。因?yàn)閺S商首先要把谷歌的代碼置入自己的代碼庫中,然后為自己的各種型號設(shè)備建立新的固件版本,測試后再與移動運(yùn)營商合作來發(fā)布更新。而且,如果設(shè)備超過18個月就徹底停止接收更新,因此對于新發(fā)現(xiàn)的安全漏洞毫無抵抗之力。
德雷克發(fā)現(xiàn)的這些安全漏洞影響Android2.2及以上版本,這意味著有大量設(shè)備將永遠(yuǎn)無法接收到這些補(bǔ)丁。德雷克預(yù)計(jì),在當(dāng)前使用中的Android設(shè)備中,最終將只有20%至50%的設(shè)備能夠接收到補(bǔ)丁程序。德雷克還稱,50%是一個理想的目標(biāo),如果真的達(dá)到50%,那將是令人吃驚的。
對此,谷歌在一封電子郵件聲明中對德雷克的貢獻(xiàn)表示感謝,并證實(shí)這些補(bǔ)丁已經(jīng)提供給合作伙伴。谷歌還稱:“大部分Android設(shè)備,包括所有新設(shè)備,都擁有多項(xiàng)技術(shù)讓黑客的入侵變得更困難。另外,Android設(shè)備還包含一款‘沙箱’應(yīng)用,用來保護(hù)用戶數(shù)據(jù)和設(shè)備上的其他應(yīng)用。”
在這些漏洞被利用后,黑客能在用戶設(shè)備上執(zhí)行的操作會有所不同,這主要取決于Stagefright框架的優(yōu)先級別。整體而言,用戶可以訪問設(shè)備的麥克風(fēng)、攝像頭、外部存儲分區(qū),但不會安裝應(yīng)用或訪問設(shè)備的內(nèi)部數(shù)據(jù)。德雷克稱,如果Stagefright擁有系統(tǒng)級權(quán)限(根權(quán)限),那么在受影響的設(shè)備中,預(yù)計(jì)有50%會被黑客完全控制。
由于這些補(bǔ)丁尚未通過AOSP項(xiàng)目發(fā)布,意味著非谷歌合作伙伴尚未得到補(bǔ)丁程序。此外,CyanogenMod等第三方AOSP固件也可能受到影響。據(jù)悉,德雷克私下已將這些補(bǔ)丁提供給部分受影響的第三方,如Silent Circle和Mozilla等。
Android、Windows和Mac版Mozilla Firefox,以及FirefoxOS均受這些漏洞影響,因?yàn)樗鼈兌际褂昧薙tagefright框架。據(jù)悉,Mozilla今年5月已修復(fù)了Firefox 38。
德雷克計(jì)劃在8月5日的黑帽安全大會(Black Hat Security Conference)上提供更多相信信息。