BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

Android的“Stagefright”缺陷置数亿用户于危险之中

| 作者 James Chesters 关注 1 他的粉丝 ,译者 谈浩 关注 0 他的粉丝 发布于 2015年8月25日. 估计阅读时间: 4 分钟 | Google、Facebook、Pinterest、阿里、腾讯 等顶尖技术团队的上百个可供参考的架构实例!

在几个严重的缺陷被公开后,Google已迅速采取应对措施安抚用户。

其中Google Stagefright媒体播放引擎的多远程代码扩展(Media Playback Engine Multiple Remote Code Execution)缺陷允许攻击者经彩信(MMS)向Android设备上的这个引擎发送媒体文件,以此发起攻击。而这个Stagefright引擎本身是负责处理多个流行的媒体格式的。

攻击者能窃取受感染手机上的数据,并挟持麦克风和摄像头。

Android是当前最流行的移动操作系统,这意味着,数亿人手中运行着的Android 2.2或更高版本的手机存在被攻击的危险。

Zimperium的移动安全专家Joshua Drake

一次成功的破坏性攻击,甚至能够在你看到这条彩信之前就自我删除了,你只会看到一条提示信息。这不像鱼叉式钓鱼攻击那样,受害者需要打开来自攻击者的PDF文件或链接。这个缺陷会在你晚上熟睡的时候就被触发,接着攻击者在你手机上做完手脚后,会清理掉所有痕迹后才离开。第二天醒来,你还是像往常一样玩手机——被植入木马的手机。

Zimperium提到:“Google迅速采取了措施,在48小时内就在内部代码分支上打了补丁,但是不幸的是,这只是个开始,因为要将补丁部署到用户的手机上还需要走漫长的流程。”

NPR则报道,能否部署这个最新的补丁,就取决于Google将最新的Android OS交给智能手机/平板电脑厂商后,这些厂商是否愿意去更新或应用这个补丁了。

Silent Circle他们的Blackphone在几周前就已经打了补丁。同样,CyanogenMod在几周前,已经在CM12.0和12.1里打了补丁。而Mozilla也已经在Firefox 38里修复该漏洞。而一些手机厂商则还在等待官方的正式更新。

安全软硬件厂商Sophos,Google Nexus手机的用户可能已经是安全的了,但对于其他厂商的产品,除非他们公开声明,否则还不能确定他们的手机是否已经打了补丁。而Zimperium则对详细的统计报告暂时保密,直到8月5日的Black Hat USA大会的时候,才会公开。

Google Android安全部门的首席工程师Andrew Ludwig

更新补丁确实是最终的办法。但在整个安全技术的多层栈式体系中,它不应该是第一和唯一的一种安全手段。

对于高级缺陷利用的缓解技术,我持乐观态度,因为当补丁是唯一选择的时候,这些技术能帮助我们迅速定位并解决问题,保护用户的设备。我也希望能深入研究这些技术,并利用他们避免Android或其他平台被恶意利用。

要避免自己Android设备受到Stagefright缺陷的影响,用户首先要做的,就是在手机的信息类应用里禁用“自动获取”彩信和Google Hangouts这些选项。毕竟,该缺陷是存在于Stagefright媒体库里面,所以只有通过彩信才能发起攻击。

在Google将该缺陷等级定义为“高”后,Ludwig就提醒: “人们通常有一个错误的假设,就是所有的软件Bug都会被攻击者恶意利用。但事实上,大部分Bug都不能被利用。”

此外,Google已经宣布了他们的Android安全奖励计划,鼓励广大研究人员去验证那些可被利用的缺陷,对能够进行远程入侵的开发者,将奖励最高30,000美元奖金。

查看英文原文:Android 'Stagefright' Vulnerabilty puts Millions at Risk


感谢张龙对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ@丁晓昀),微信(微信号:InfoQChina)关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入InfoQ读者交流群InfoQ好读者)。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT