史上最大漏洞!一封 MMS 簡訊,駭進 9 億 5000 萬台 Android 手機

作者 | 發布日期 2015 年 07 月 30 日 15:55 | 分類 Google , 資訊安全 follow us in feedly

Android 裝置盛行,讓世界各地的人能享受智慧型手機帶來的便利,被比喻為 Android 版的 Heartbleed 漏洞 Stagefright 影響高達上億台 Android 裝置。行動裝置資安公司公司 Zimperium 發布他們新發現的漏洞,駭客只要透過 MMS 多媒體簡訊就能無聲無息的奪取手機控制權。




Zimperium 在其部落格表示,駭客只要知道你的電話號碼,寄經過特殊變造的 MMS 多媒體簡訊給你,就能侵入 Android 手機,取得控制權。更可怕的是還能神不知鬼不覺,侵入系統後就刪除訊息,不會讓主人察覺。

這次發現的漏洞利用 Android 處理多媒體的 Stagefright 程式庫。Stagefright media playback engine 用在播放多媒體檔案,用 C++ 撰寫,很容易就找到漏洞。再加上權限相當大,接近 root 權限,因此變成鎖定的對象。

Zimperium 說,這項漏洞影響範圍廣大,從 Android 2.2 到 5.1 版本皆受到影響。 而 Zimperium 不只發現漏洞,在四、五月跟 Google 回報修補程式,部分手機廠商已經取得修補程式了。由於 Android 手機的更新機制緣故,部分手機並未收到修補程式,原因是各廠商的更新流程不一。

Zimperium 發現的漏洞竟會影響你意想不到的地方:Firefox 瀏覽器。Stagefright 漏洞會影響除了 Linux 以外,包括 Firefox OS 的瀏覽器及作業系統。不過 Mozilla 已經在版本 38 就已經修正了,所以趕快升級 Firefox 瀏覽器到最新版本吧。

Zimerium 將在 8 月 3 日以及 7 日的 Black Hat US 以及 DEF CON 23 發表詳細的入侵方法。回顧先前的資安報導,曾提過美國的克萊斯勒被入侵實驗,也要在資安大會發表,八月可說資訊安全很熱鬧的月份。

發表迴響