史上最大漏洞!一封 MMS 簡訊,駭進 9 億 5000 萬台 Android 手機

作者 | 發布日期 2015 年 07 月 30 日 15:55 | 分類 Google , 資訊安全 follow us in feedly
Computer-Password-Security-Hacker

Android 裝置盛行,讓世界各地的人能享受智慧型手機帶來的便利,被比喻為 Android 版的 Heartbleed 漏洞 Stagefright 影響高達上億台 Android 裝置。行動裝置資安公司公司 Zimperium 發布他們新發現的漏洞,駭客只要透過 MMS 多媒體簡訊就能無聲無息的奪取手機控制權。




Zimperium 在其部落格表示,駭客只要知道你的電話號碼,寄經過特殊變造的 MMS 多媒體簡訊給你,就能侵入 Android 手機,取得控制權。更可怕的是還能神不知鬼不覺,侵入系統後就刪除訊息,不會讓主人察覺。

這次發現的漏洞利用 Android 處理多媒體的 Stagefright 程式庫。Stagefright media playback engine 用在播放多媒體檔案,用 C++ 撰寫,很容易就找到漏洞。再加上權限相當大,接近 root 權限,因此變成鎖定的對象。

Zimperium 說,這項漏洞影響範圍廣大,從 Android 2.2 到 5.1 版本皆受到影響。 而 Zimperium 不只發現漏洞,在四、五月跟 Google 回報修補程式,部分手機廠商已經取得修補程式了。由於 Android 手機的更新機制緣故,部分手機並未收到修補程式,原因是各廠商的更新流程不一。

Zimperium 發現的漏洞竟會影響你意想不到的地方:Firefox 瀏覽器。Stagefright 漏洞會影響除了 Linux 以外,包括 Firefox OS 的瀏覽器及作業系統。不過 Mozilla 已經在版本 38 就已經修正了,所以趕快升級 Firefox 瀏覽器到最新版本吧。

Zimerium 將在 8 月 3 日以及 7 日的 Black Hat US 以及 DEF CON 23 發表詳細的入侵方法。回顧先前的資安報導,曾提過美國的克萊斯勒被入侵實驗,也要在資安大會發表,八月可說資訊安全很熱鬧的月份。

發表迴響