曝Android重大漏洞：一條彩信 黑客就能入侵

　　以色列移動(dòng)信息安全公司Zimperium研究人員約舒亞·德雷克(JoshuaDrake)在Android系統(tǒng)中發(fā)現(xiàn)了多處安全漏洞，影響當(dāng)前約95%的Android設(shè)備。只需簡(jiǎn)單的一條彩信，黑客就可能完全控制用戶手機(jī)。

　　

　　德雷克在Android平臺(tái)的核心組成部分Stagefright中發(fā)現(xiàn)了多處漏洞，Stagefright主要用來(lái)處理、播放和記錄多媒體文件。其中一些漏洞允許黑客遠(yuǎn)程執(zhí)行惡意代碼，只需用戶接收一條彩信(MMS)，通過(guò)瀏覽器下載一個(gè)特定視頻文件，或者打開一個(gè)嵌入多媒體內(nèi)容的網(wǎng)頁(yè)，黑客就可以發(fā)動(dòng)攻擊。

　　德雷克還稱，在其他許多情況下，黑客也可能對(duì)用戶發(fā)動(dòng)攻擊，因?yàn)橹灰狝ndroid平臺(tái)接收到任何來(lái)源的媒體文件，都要通過(guò)Stagefright框架來(lái)處理。

　　Stagefright不只是用來(lái)播放媒體文件的，還能自動(dòng)產(chǎn)生縮略圖(thumbnail)，或者從視頻或音頻文件中抽取元數(shù)據(jù)，如長(zhǎng)度、高度、寬度、幀頻、頻道和其他類似信息。

　　這意味著無(wú)需用戶執(zhí)行一些惡意多媒體文件，只要復(fù)制這些文件，黑客即可利用Stagefright漏洞發(fā)動(dòng)攻擊。

　　德雷克不確定有多少應(yīng)用依賴于Stagefright，但他認(rèn)為，任何一款應(yīng)用，只要處理Android上的媒體文件，就需要以某種方式來(lái)利用Stagefright。

　　在所有攻擊途徑中，彩信是最危險(xiǎn)的，因?yàn)樗恍枰脩舻娜魏位?dòng)，只需手機(jī)接受一條惡意信息即可。

　　德雷克稱，例如，用戶在睡覺(jué)時(shí)把手機(jī)靜音，黑客就可以發(fā)送一條惡意彩信。黑客利用該彩信發(fā)動(dòng)攻擊后，還可以將這條彩信刪除，這樣用戶就永遠(yuǎn)也不會(huì)知道自己的手機(jī)被入侵。