數億設備受Stagefright漏洞影響
北京時間3月25日消息,據科技網站ZDNet報道,聲名狼藉的Stagefright漏洞已經被發現近一年了,但超過8.5億安卓設備仍在遭受它的潛在威脅,不計其數的智能手機和平板電腦仍處于被劫持的風險之中。
Stagefight漏洞由網絡安全團隊Zimperium的研究員喬舒亞·德雷克(Joshua Drake)在去年發現,它被稱為“迄今發現最嚴重的安卓漏洞之一”。
Stagefight漏洞能夠攻擊任何運行Android 2.2或以上系統的設備,允許攻擊者在用戶毫無察覺的情況下劫持設備。它僅通過利用安卓系統內置的媒體庫就能做到這一點,媒體庫能夠被引發運行惡意代碼,令黑客進入用戶所有的文件。
實際上,自漏洞曝光后,谷歌一直持續不斷發布補丁、升級以及其他修復措施。但Zimperium稱,數億安卓智能手機和平板電腦仍曝光在這一漏洞之下,總數約有6億到8.57億部。該數據是基于一份研究報告而來,報告稱,盡管谷歌不斷發布更新,但43%的安卓設備仍可能遭受代號為“CVE-2015-3864”漏洞的攻擊。
研究人員透露,部分原因起源于,安卓廠商們推送Stagefright安全補丁的方式存在問題。實際上,這些安全更新將會把用戶曝光在其他一些列漏洞之下。索尼,摩托羅拉,三星,華碩,LG和華為全部在無意中中招,非但未減少用戶被攻擊的概率,還令其增加了。
Zimperium還曝光了新的Stagefight漏洞,例如本月早些時候發現的Metaphor,目前僅有少數設備已針對其打過補丁,因為每次更新只有少數設備能接收到。
谷歌希望即將發布的Android N操作系統能夠修復這一漏洞,但Zimperium研究員表示,整個安卓生態系統全部運行Android N將需要好幾年時間。
一些更新并不適用于老款設備也是個問題,這些設備未運行較新的安卓系統,將無法接收到補丁。
此外就是老生常談的安卓系統碎片化問題。雖然谷歌每月發布補丁確保能夠防護Stagefright漏洞,但廠商們在同意和執行更新方面行動緩慢。
Zimperium還建議運營商和即時消息應用公司做好準備,封鎖帶有鏈接的短消息,如果有“蠕蟲”開始擴散的話。
京公網安備 11010502049343號