安卓系统存在重大漏洞 仅凭文字消息可入侵

[摘要]该漏洞存在于安卓内置的“Stagefright”的媒体播放工具中。只需向安卓设备发送一条简单的文本消息，黑客就可以取得该设备的全部权限。

腾讯数码讯（编译：大禾）近日，一家安全研究公司声称，安卓系统上存在一处漏洞，足以对几乎所有此类设备产生威胁。

据Zimperium表示，该漏洞存在于安卓内置的称之为“Stagefright”的媒体播放工具中。只需向安卓设备发送一条简单的文本消息，黑客就可以取得该设备的全部权限，进而窃取各类数据，包括信用卡或个人信息。

Zimperium向国家公共电台表示，目前为止，该漏洞尚未被人利用。但该公司在网站的一篇博文中表示，95%的安卓设备会受到威胁。

这一数目可谓相当惊人。依据市场研究公司Strategy Analytics 给出的数据，2014年，安卓设备的出货量超过10亿台，而这一数字在2015年有望创下全新纪录。Zimperium将“Stagefright”称为“其他安卓漏洞的根源”。

虽然开源的特点使其成为苹果iOS的有力竞争对手，但安卓系统多年来一直在安全性方面饱受质疑。依据安全公司F-Secure的说法，今年第一季度，99%的移动端恶意软件都出现在安卓设备上。

安卓系统的更新过程非常缓慢，通常需要依赖不同的手机制造商以及无线网络运营商推送。

Zimperium表示，他们在今年4月便发现了该处漏洞，并及时通知了谷歌。

一位谷歌发言人表示，设备制造商已经收到了补丁文件，但她没有透露更多细节。

而依据国家公共电台的说法，恶意软件可以藏身于发往用户手机的简短视频中。一旦恶意文本被设备接收，就会触发Stagefright的某个内置功能，减少播放视频所需的处理时间，而黑客就在这一过程中取得设备的控制权。

具体的步骤取决于用户安装的即时消息平台。对于使用安卓提供的标准Messenger应用的用户来说，他们只需打开文本消息即会中招，就算不观看视频也是一样。而依据Zimperium的说法，那些使用谷歌Hangouts的用户更是连文本也无需看到。一旦应用收到文本消息，就会自动对视频进行处理，然后就中招了。

谷歌面对这种问题所能采取的措施有限，因为安卓系统的更新需要依赖三星、LG以及华为这类设备制造商进行推送才能完成。这些设备制造商通常都对安卓系统进行自己的修改，而谷歌只能向他们发送更新和补丁文件，无法直接面对最终用户发送。

面对日益增长的恶意软件威胁，谷歌于今年6月宣布启动一项奖励计划，旨在向那些发现、报告甚至修正了漏洞的开发或研究人员进行现金奖励。多年来，谷歌在其他方面开展的类似计划获得了显著成效。2013年，一位名为“Pinkie Pie”的安全领域专家就因为发现Chrome浏览器上一处严重漏洞而获得了公司给予的50000美元奖励。去年，谷歌就针对那些发现Chrome浏览器以及其他谷歌产品漏洞的安全研究人员发放了总计150万美元的奖励。而自2010年以来，公司已经为此支付了超过400万美元。

Zimperium表示，由于设备制造商迟缓的动作，目前大约只有20%至50%的设备接收到了补丁。

虽然Zimperium表示，由于Stagefright漏洞的存在，安卓设备面临极大的风险。但谷歌方面却表示，2014年，安卓设备上安装恶意软件的数量大幅下滑50%。而到了2014年年底，谷歌更表示只有不到1%的安卓设备上安装了“具有潜在危害性”的应用。

依照Zimperium在博客上的说法，今年8月1日，在拉斯维加斯举办的黑帽安全大会上，他们会就Stagefright漏洞的细节进行演示与公开。

本文来源：腾讯新闻