本周堪稱是安卓設備的“黑色周”,幾天前剛被曝出Stagefight媒體庫上存在勝似“心臟出血”的高危漏洞,這兩天安全研究人員再曝可遠程致使安卓設備無法正常接打電話的最新漏洞。
安全研究員在安卓設備的mediaserver服務上發現了一個整數溢出漏洞,可遠程致使超過全球55%的安卓手機崩潰,連最基本的打電話接電話都不行。Android 4.3 Jelly Bean及其之后的所有版本均受影響,包括Android 5.1.1 Lollipop,以至于有數百萬的安卓用戶都可能被黑客攻擊。
黑客可通過下面的兩種方式利用該漏洞:
1. 通過一個惡意的安卓app;
2. 通過一個特別構造的網站。
最簡單的方法就是引誘存在安全問題的安卓手機到一個設有陷阱的網站上。如果是因為這種方法使得手機沒反應,只需重啟手機即可恢復正常。
然而,本周三研究人員在其博客中指出,如果是通過惡意APP入侵的手機,則會對手機造成比較長遠的影響。惡意APP的工作方式可被設計成:只要手機被打開,APP就會自動運行,此時手機就會出現短暫的不受控制—出現無反應、靜音、無法打電話、無法接聽電話等情況。
該漏洞存在于mediaserver服務上,mediaserver服務是安卓手機用于索引媒體文件的一個服務。造成該安全威脅的原因是mediaserver服務不能正確的處理畸形文件。當mediaserver服務解析MKV文件時會出現整數溢出,解析音頻數據時,攻擊者可以讀取緩沖區數據,重寫NULL數據。所以會導致服務崩潰。
安全研究員于5月底就將該問題報告給了谷歌安全團隊,然而谷歌卻將其分類為低危漏洞。
京公網安備 11010502049343號