网路移动安全机构(Zimperium Mobile Security)发现Android系统漏洞存在Stagefright媒体库当中。黑客只需要知道用户的电话号码,就可以简单通过发送多媒体简讯(MMS)的方式,来黑入用户的手机。
这个漏洞最可怕之处是,黑客可以在机主睡觉的时候发送木马、访问手机,然后删除手机被黑的证据(文件)。在成功入侵用户手机之后,黑客即可在远程操控手机的麦克风、窃取文件、查看电子邮件、盗取用户网站帐号密码及个人证书等资料。而这些入侵行动均在用户无法发现的情况下发生的。
因为该漏洞不像网络钓鱼等攻击手段,需要打开黑客发送的文件或链接才会感染,哪怕用户不做任何事情它也能偷偷地入侵手机并在用户发现前将证据抹掉。
据Zimperium的安全研究人员、《Android黑客手册》作者之一约书亚.德雷克(Joshua Drake)研究,黑客可以在影片档案隐藏恶意程式,即使智能手机用户从未开档或读取信息,恶意程式也会被释出。“这些漏洞极为危险,因为不需要用户采取任何行动就会被利用。”
法新社报导,Zimperium在博客中说“任何人都会是这类攻击目标”,并指Stagefright是该机构到目前为止发现最严重的Android漏洞。
目前全球约有80%智能手机是用Android系统的。而这个系统漏洞的影响范围甚广,横跨Android 2.2至Android 5.1版,影响约有95%的Android用户,估计约为9.5亿部手机。
不过,Zimperium说,还没有发现任何因为这个漏洞(Stagefright)而受黑的情况出现。
另外,Zimperium说,已将这个安全漏洞通报Google,并将修补程式提供给Google,Google迅速采取行动,48小时内将修补程式提供内部相关程式部门。而这个安全修补程式要送达用户Android设备中,还需要几个月的时间。
为安全起见用户最好主动找运营商或设备供应商去索取更新,或在下回收到通知提醒更新,可透过OTA升级,让手机又能受到较为完整的保护。
据报导,Zimperium计划在8月份举行的2015黑帽(Black Hat)大会及Def Con黑客大会上披露他们的发现。 黑帽大会是电脑专业人员交流与黑客攻击相关研究成果的平台。
按照IDC的预测,到今年年底,Android设备的占有率将达到79.4%,出货量越达11.5亿,远超苹果的2.37亿出货量及16.5%的占有率。
根据安全机构F-Secure的数据,Android是移动恶意软件的首要攻击目标,99%的恶意软件都把Android作为攻击对象。随着智能手机在电子商务、支付等方面的使用越来越频繁,积累的隐私数据越来越多,手机安全问题必将引起用户的高度重视。
大纪元记者李洋综合报导
责任编辑:苏漾
