Android 新漏洞,聽 MP3 音樂就可能中招

作者 | 發布日期 2015 年 10 月 02 日 14:50 | 分類 Android , 手機 , 資訊安全 follow us in feedly

安全研究機構 Zimperium 近日披露了 Android 操作系統名為 「Stagefright」 的新漏洞,其威脅性在於打開一個 mp3 檔案也可能讓手機被病毒感染。



這可算是 Zimperium 發現的 Stagefright 漏洞的 2.0 版。據稱該公司今年 4 月發現的 1.0 版漏洞可感染 1.0 版以上的 Android 系統,而當前的這個漏洞則會感染 Android 5.0 以上的系統。

該漏洞與 MP3、MP4 檔案內的數據處理有關──只要用戶預覽某被預先處理過的歌曲或影片,就會被攻擊者利用其中的漏洞來遠程執行程式碼。根據 Zimperium 介紹,用戶最有可能被感染的方式是透過 Web 瀏覽器訪問這些被處理過的 MP3 或 MP4 檔案,然後把用戶引導到受攻擊者控制的網站,或者利用中間人攻擊來注入病毒。此外,由於該漏洞是在 stagefright 程式庫中被發現的,鑑於該程式庫也被部份媒體播放器使用,所以其他的第三方 App 也可能受感染(目前尚未發現)。

由於漏洞的修補程式仍在製作當中,所以 Zimperium 暫時不會公布病毒的概念驗證程式碼,但是會在修補程式發布後升級 Stagefright 檢測 App。

Zimperium 已經在今年 8 月 15 號將漏洞通知給 Google,按照計畫,後者將會在下周的 Nexus Security Bulletin 上發布相關修補程式。另據 Motherboard 介紹,推出不久的 Android Marshmallow(棉花糖)已經內建了修補程式,但是安裝該版本的 Android 手機顯然不會太多。而小米、三星、HTC 等利用 Android 修改而成的操作系統也需要自行發布相關修補程式。

(本文由 36Kr 授權轉載) 

發表迴響