安卓致命漏洞亟待补丁 国内手机厂商未及时跟进

31.07.2015  16:55

安卓漏洞

新华网北京7月31日电 (记者 孙亚华)“一条彩信就能黑了你的安卓手机”,网络安全公司Zimperium研究人员27日警告,全球应用最广泛的移动设备操作系统之一安卓(Android)存在“致命”安全漏洞。这家公司预计约有95%安卓系统的智能手机受到影响。

消息一出,一石激起千层浪。目前,小米、乐视等国产品牌手机的操作界面(UI)均是基于安卓系统(OS)运行。360手机安全专家宋申雷接受记者采访时表示,目前中国基本上所有安卓用户都会面临这一漏洞带来的风险。“这是一个通过多媒体播放就可以传播的高危漏洞。多媒体拥有多种入口,因此很容易就可以让黑客入侵。”

Zimperium网络安全公司的研究人员发表报告称,如有黑客发送恶意信息,手机系统自带的短信客户端会预览并自动下载这些文件。这样即便用户不打开彩信,手机也可能被入侵,甚至赶在用户看到前将它删除、窃取用户文件,盗取密码和遥控摄像头等。

不仅是短信,微信收到图片、视频也会面临同样的危险。出现漏洞的安卓Stagefright框架是默认会被mediaserver使用。也就是说,哪怕恶意的视频文件是通过第三方程序被系统处理到,该漏洞也有机会被触发。专家称,当通过微信发送恶意视频和图片,即使用户不点击,也会导致mediaserver崩溃,触发该漏洞。

“当下对于这一事件还不必过分恐慌”,宋申雷分析认为,攻击程序的构造过程没有想象中简单,在该漏洞的验证样本源代码公布前,它是基本上不可能被黑客广泛使用。他同时补充到,目前针对这个漏洞修复补丁的细节已经公布。系统安装该补丁后,这一“致命”漏洞就完全起不到任何危害作用。

Zimperium公司已表示,先前将这些安全漏洞通报给了开发安卓系统的谷歌公司,同时向后者提供了自行开发的补丁程序。目前,谷歌已把补丁程序提供给合作伙伴。

但是,宋申雷称,国内的手机厂商并没有第一时间进行系统更新,“我们对比发现,国外主流安卓使用厂商已经发通知给手机用户,敦促其系统升级;而国内大部分的手机厂商还未发布相应信息。”

据悉,在8月份的全球信息安全领域顶尖峰会“黑帽大会”上,漏洞的验证样本源代码将会被公布。宋申雷提醒道,数据一旦公布,黑客就可以制作出攻击程序。若那时安卓用户还未安装相应补丁,那么受到攻击的可能性就会有变大。