全球约有80%的智能手机使用安卓系统,安全研究人员最新披露,利用一个软件漏洞,黑客只需给受害人发送一条短信,即可入侵并控制手机,意味着9.5亿用户可能受到影响。
只需一条短信
不像以往那样,受害人需要打开有木马的附件或下载恶意文件才能中招。这种攻击的可怕之处在于,只要你一收到短信,恶意代码即可运行。
“甚至在你听到短信提示音之前,一切就能发生。这是它的极度危险之处,它可能是悄然无声的。你可能什么都不会注意到,”发现这个漏洞的安全人员约书华·德里克说道。德里克是安全公司Zimperium的高级研究人员,《安卓黑客手册》一书的合著者。
这个漏洞出在于安卓系统的Stagefright媒体库中,德里克将在8月5日的黑帽大会上公开这一漏洞的细节。
攻击过程:
攻击者建立一条多媒体短信,把恶意代码藏在其中,然后发送给受害人的手机。当这条短信到达手机的那一刻,“触发漏洞,恶意代码开始初始化。”一旦攻击者成功进入手机,便可做任意事情。复制数据、删除数据,控制话筒和摄像头以监视机主。
理论上的解决方案:
德里克表示,这个漏洞几乎影响每一台使用中的安卓手机。但他同时指出,目前还没有看到黑客利用这个漏洞。在今年四、五月份时,他在邮件中向谷歌提交了他的发现,甚至还发送了补丁。谷歌官方很快给予答复,接收了他的补丁,并对他的工作表示感谢。但问题是,补丁工作进展的很慢。德里克认为,很可能只有20%的手机打上了补丁,最乐观的估计也只是50%。
安卓的合作伙伴太复杂
仅有一半左右的手机打上了补丁,谷歌同意这一现状并不乐观。但它表示,已经通知了合作伙伴,并把补丁发送给了使用安卓系统的手机生产商。实际上,谷歌能做到的也只是这些,更多的事情需要手机厂商和运营商联合工作,以最大限度的降低风险。
安卓与苹果手机不同,后者是个封闭的系统,控制着手机的硬件和软件,升级或打补丁比较容易。目前,85%的iPhon用户都在使用最新的系统 iOS 8。据统计,在2014年第一季度,99%的恶意软件威胁都在安卓设备上。
谷歌把安卓的最新版本给到手机生产商,后者则会按自己的想法任意更改,还有电信运营商也在把各种定制版本强行植入到系统中,以致于想全面更新安卓系统几乎成了一个不可能完成的挑战。今年初在安卓浏览器应用中发现的一个漏洞,到现在还有很大一部分的手机仍然没有打上补丁。业内人员认为,厂商没有经济动机去修复已经售出的手机。