BlackHat2015:仅一条短信即可控制绝大部分安卓手机

安全
全球约有80%的智能手机使用安卓系统,安全研究人员最新披露,利用一个软件漏洞,黑客只需给受害人发送一条短信,即可入侵并控制手机,意味着9.5亿用户可能受到影响。

全球约有80%的智能手机使用安卓系统,安全研究人员最新披露,利用一个软件漏洞,黑客只需给受害人发送一条短信,即可入侵并控制手机,意味着9.5亿用户可能受到影响。

[[142558]]

只需一条短信

不像以往那样,受害人需要打开有木马的附件或下载恶意文件才能中招。这种攻击的可怕之处在于,只要你一收到短信,恶意代码即可运行。

“甚至在你听到短信提示音之前,一切就能发生。这是它的极度危险之处,它可能是悄然无声的。你可能什么都不会注意到,”发现这个漏洞的安全人员约书华·德里克说道。德里克是安全公司Zimperium的高级研究人员,《安卓黑客手册》一书的合著者。

这个漏洞出在于安卓系统的Stagefright媒体库中,德里克将在8月5日的黑帽大会上公开这一漏洞的细节。

攻击过程:

攻击者建立一条多媒体短信,把恶意代码藏在其中,然后发送给受害人的手机。当这条短信到达手机的那一刻,“触发漏洞,恶意代码开始初始化。”一旦攻击者成功进入手机,便可做任意事情。复制数据、删除数据,控制话筒和摄像头以监视机主。

理论上的解决方案:

德里克表示,这个漏洞几乎影响每一台使用中的安卓手机。但他同时指出,目前还没有看到黑客利用这个漏洞。在今年四、五月份时,他在邮件中向谷歌提交了他的发现,甚至还发送了补丁。谷歌官方很快给予答复,接收了他的补丁,并对他的工作表示感谢。但问题是,补丁工作进展的很慢。德里克认为,很可能只有20%的手机打上了补丁,最乐观的估计也只是50%。

安卓的合作伙伴太复杂

仅有一半左右的手机打上了补丁,谷歌同意这一现状并不乐观。但它表示,已经通知了合作伙伴,并把补丁发送给了使用安卓系统的手机生产商。实际上,谷歌能做到的也只是这些,更多的事情需要手机厂商和运营商联合工作,以最大限度的降低风险。

安卓与苹果手机不同,后者是个封闭的系统,控制着手机的硬件和软件,升级或打补丁比较容易。目前,85%的iPhon用户都在使用最新的系统 iOS 8。据统计,在2014年第一季度,99%的恶意软件威胁都在安卓设备上。

谷歌把安卓的最新版本给到手机生产商,后者则会按自己的想法任意更改,还有电信运营商也在把各种定制版本强行植入到系统中,以致于想全面更新安卓系统几乎成了一个不可能完成的挑战。今年初在安卓浏览器应用中发现的一个漏洞,到现在还有很大一部分的手机仍然没有打上补丁。业内人员认为,厂商没有经济动机去修复已经售出的手机。

责任编辑:蓝雨泪 来源: 安全牛
相关推荐

2009-07-03 09:09:30

2015-07-29 14:59:44

2017-08-03 09:23:21

陈天桥盛大科学研究

2015-07-30 18:25:38

2015-08-07 16:58:53

2015-08-07 10:07:45

2015-03-25 19:15:08

2015-08-06 14:48:43

2009-04-01 08:36:06

Windows mob移动OS升级

2015-05-28 10:39:35

漏洞iPhone手机安全

2019-04-04 09:02:13

浏览器 Chrome Edge

2010-11-18 12:44:25

LibreOffice

2015-08-04 09:56:48

2018-08-31 07:33:58

2021-01-16 16:07:51

RustAndroid Nat内存

2012-06-26 17:07:08

地域分布

2013-07-08 10:36:57

2013-09-16 15:00:15

2010-08-19 10:47:59

诺基亚Ovi永久免费

2021-08-06 17:44:45

云安全云计算网络安全
点赞
收藏

51CTO技术栈公众号