連續幾日,蘋果Xcode病毒門事件持續發酵,再次引發公眾對手機安全的關注。就在人們紛紛聚焦蘋果之時,360無線安全團隊C0RE Team最新披露,不久前被曝可影響95%安卓設備的Stagefright漏洞尚存后遺癥,該團隊在安卓多媒體庫中又挖出多個漏洞,其中4個已被谷歌確認為安全漏洞,有兩個更被確認為高危漏洞。C0RE Team表示,漏洞詳情將在即將舉行的中國互聯網安全大會(ISC2015)上發布。
一條神秘彩信能黑掉手機?
今年7月27日,信息安全公司Zimperium在博客發帖說,研究人員Joshua Drake在安卓平臺的核心組成部分,即主要用來處理、播放和記錄多媒體文件的Stagefright框架中發現多處安全漏洞。“黑客”只需知道用戶手機號碼,便可通過發送彩信的方式遠程執行惡意代碼。
漏洞的可怕之處在于,“黑客”可以在用戶完全不打開或閱讀彩信的情況下入侵手機,甚至趕在用戶看到這條彩信前將其刪除,神不知鬼不覺地“黑”掉手機,繼而遠程竊取文件、查收電郵乃至盜取用戶名和密碼等信息,而用戶對這一切全然不知。“這類攻擊的目標可以是任何人,”Zimperium公司說,“這些漏洞極其危險,因為它們無需受害人采取任何行動。”
按這家公司的說法,Stagefright框架的安全漏洞波及安卓多個版本,當時約有95%、即多達9.5億部使用安卓系統的智能手機受到影響。
“谷歌行動及時,48小時內便在內部代碼庫應用了補丁程序,”Zimperium公司說,“不過,這只是個開始,更新部署將是非常漫長的過程。”
致命漏洞真的被修復了嗎?
受到Zimperium公司的啟發,在上述漏洞發布后的半個月內,360無線安全團隊C0RE Team又接連發現了多個不同的漏洞并提交給谷歌。C0RE Team負責人透露,這些新發現的漏洞與Stagefright漏洞具備相同特征,且能夠造成的危害力也與之等量,“利用這些漏洞,黑客發送一條彩信即可以對你的手機做任何事,甚至通過檢查你的通訊錄,用同樣的方式把病毒擴散給你的其他朋友”。不僅僅是個人,C0RE Team負責人稱,此類漏洞若不及時修復,甚至還可能被一些利益集團利用,從事黑產或者用于竊取軍事信息等。
據了解,這些漏洞已經被C0RE Team提交給谷歌,其中4個漏洞已被谷歌確認為安全漏洞,有兩個更被確認為高危漏洞。谷歌也著手修補漏洞并通知手機廠商,但由于廠商推送補丁需要一定的時間,安卓用戶正在使用的各種系統中,漏洞尚未被修補。
這些漏洞是如何被發現又如何被利用做到遠程攻擊?安卓用戶如何偵測自己的設備是否存在這些漏洞?C0RE Team稱,更多細節與研究成果將在即將舉行的中國互聯網安全大會(ISC2015)“智能移動終端攻防論壇”上發布。
手機成終極情報收集工具?
前有安卓Stagefright漏洞,后有蘋果Xcode病毒門,兩大移動操作系統巨頭先后陷入泥淖。相比二者連番卷入輿論漩渦的動蕩不安而言,這些病毒門、漏洞門中,最終受到實質傷害的依然是普通用戶,或個人隱私遭泄漏,或重要信息被販賣,甚至可能招來不法分子的覬覦。
對此,以色列手機安全企業Kaymera CEO、移動安全頂尖專家Avi Rosen認為,智能手機如今已成為黑客的終極情報收集工具。隨著低成本工具的出現和網上可提供產品的豐富多樣,黑客可以將任何智能手機變成一個復雜的跟蹤裝置,具備提供實時的情報收集能力,并通過語音通話、短信、電子郵件、環境聲音、照片、視頻等內容,準確地對手機用戶進行定位跟蹤。
這意味著,無論你身在何處、正在做什么,時刻有目光躲在暗處窺伺的場景可能不再只是恐怖電影里的橋段,你的一切將暴露在攻擊者面前。
黑客到底是如何利用智能手機成為情報收集工具的,普通手機用戶可以用哪些方法抵御攻擊?作為ISC2015的閉幕式嘉賓,Avi Rosen將在9月30日召開的全球互聯網安全精英峰會上,詳述各種移動網絡攻擊載體和情報搜集技術,并介紹用戶們關注的保護移動資產和數據的有效方式。
京公網安備 11010502049343號