Android 再现重大漏洞,如何防范?
VICE 的一篇报道证实,Zimperium zLabs 的研究者 Joshua Drake 在 Android 操作系统中发现 Stagefright 2.0 漏洞。这一漏洞包含两个 bug,可通过 MP3 音频及 MP4 视频,植入来自攻击者的恶意代码。Stagefright 2.0 可以影响 14 亿 Android 系统用户,但值得庆幸的是,目前暂未发现黑客利用它发起攻击。
这已不是 Stagefright 的第一个漏洞
Stagefright 本身并不是一种漏洞,而是 Android 操作系统的核心组成框架之一,主要用来处理、播放和记录多媒体文件。因为 Stagefright 框架可以处理操作系统接收的任何媒体文件,所以也给黑客提供了多种侵入用户手机的方法。
在今年 7 月份,Joshua Drake 就已经在 Stagefright 框架中发现了该漏洞的第一个版本,不过它的工作原理与 Stagefright 2.0 版本漏洞不同,我们也曾进行报道:
它的厉害之处在于,黑客只需要知道你的手机号码,发一条彩信就可以入侵用户的手机,在远端执行代码读取、控制你手机中的内容,甚至不需要你去打开这条彩信。
不过在 8 月 15 日,Stagefright 1.0 漏洞就被提交至 Google,在被发现不久之后就已经修复。
除了多媒体文件以外,黑客还可以借助 Stagefright 2.0 的另一个渠道入侵他人手机:当黑客与攻击目标身处同一个 WiFi 网络当中(比如咖啡店的公共 WiFi),可以将恶意代码经由未加密网络植入受害者手机,省去了诱导用户打开特定多媒体文件的步骤,也可以在完全隐蔽的情况下进行攻击。
手机厂商如何应对?
基于安全考虑,Zimperium 并没有公布更多 Stagefright 2.0 漏洞的技术细节,不过已经将其上报至 Google。Google 发言人表示,他们将在 10 月 5 日向 Nexus 手机用户推送更新,封堵漏洞。刚刚发布的 Nexus 5X 和 Nexus 6P 手机出厂时预装 Stagefright 2.0 补丁。
微博用户 Zackbuks 今早发布消息称索尼已经推送了 23.4.A.1.232 版本固件,升级后经过 Stagefright Detector 检测,可以有效避免受到漏洞影响。
还有一些 Moto X 用户表示早在 9 月末就已经收到了版本号为 222.27.5 的 OTA 补丁更新。
如何避免攻击?
我们已经知道,黑客可以通过公共 WiFi、MP3/MP4 多媒体文件、来路不明的网页发起攻击,因此在安装补丁之前,Android 用户应该注意:
- 不要点击来路不明的网页。这些网页可能会包含被植入了恶意代码的多媒体文件,所以在浏览网站时要注意甄别网页来源。
- 避免使用公共 WiFi。当你的手机连入公共 WiFi 后,黑客总有办法入侵你的手机,因此切断恶意代码传播的渠道是一种明智的选择。
- 及时更新系统。不更新操作系统,再好的安全补丁也不会为你的手机提供防御。
虽然 Stagefright 2.0 漏洞将 14 亿用户变成了潜在受害者,但是好在各大手机厂商似乎都已知情,并着手提供解决方案,所以只要在日常使用中多加注意,该漏洞并不会演变为大的安全危机。
文章转载自 开源中国社区[https://www.oschina.net]
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
9月移动市场数据:iOS大幅下滑、Android增长明显
【腾讯云】云上实验室:开发者零门槛,免费使用真机在线实验!>>> Android 尽管iPhone 6s和6s Plus在9月开售了一周,但是iOS平台的市场份额却迎来了几个月内最大幅度的下滑。根据市场研究公司NetMarketShare在本周四披露的9月份移动平台数据,苹果iOS移动设备份额大幅下滑,而Android却尽享增长——前者从8月份的40.82%跌到了38.58%,创下了2015年度的新低。 当然,这也是苹果自去年4月以来的低谷(其前一个月刚从41.97%跌到了38.81%)。而在同一时间(今年8-9月),Android份额却从52.14%增加到了53.54%(它在今年刚开局的时候则是47.45%)。 微软的移动市场份额,也从8月份的2.60%降到了9月份的2.48%;黑莓更是以低到不忍直视的份额而被归到了“其它”一栏。 文章转载自 开源中国社区[https://www.oschina.net]
- 下一篇
要获得开源社区的信任,微软还需要做的一件事
我是一个 Linux 和开源软件的老用户了,我是在 Linux Mint 17.3 桌面上使用 LibreOffice 5.1 写的这篇文章。虽然我知道微软做了一些改变,但是我并不真的相信微软改变了它的反开源路线。 让我们来看看微软都做了些什么。2014年,微软 CEO 萨提亚·纳德拉Satya Nadella 公开宣称说微软爱 Linux。甚至连曾经说过“Linux 是癌症”的前微软 CEO 史蒂夫·鲍尔默Steve Ballmer,现在也认为微软走向开源软件是一个好的方向。 这并不是微软的最新举措。早在 2008 年,时任微软平台技术战略总监的 Sam Ramji 就说过,“微软的开源战略关注于帮助客户和合作伙伴们在现今琳琅满目的技术世界取得成功。” 空谈容易,代码才是干货,微软确实也做到了这一点。 2016 年伊始,微软宣布开发 Linux 上的 SQL Server、将 Eclipse 和 Visual Studio 集成到一起、发布了基于 Debian Linux 的开源网络交换机,已经将 RedHat RHEL 添加到它的 Azure 混合云里面。 这仅仅是一部分。去年,微...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- Windows10,CentOS7,CentOS8安装Nodejs环境
- CentOS8编译安装MySQL8.0.19
- CentOS6,CentOS7官方镜像安装Oracle11G
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- 设置Eclipse缩进为4个空格,增强代码规范
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题