Android的末日?致命漏洞Stagefright攻击代码发布

stagefright

今年4月份,以色列移动信息安全公司Zimperium研究人员Joshua Drake在Android系统核心多媒体框架Stagefright中发现了多处漏洞,影响当前约95%的Android设备。通过这个漏洞,黑客只需简单的一条彩信就可能完全控制用户手机。

由于攻击面巨大且攻击手段简单有效,Stagefright被公认是Android史上最恐怖的安全漏洞。

今年7月底,Zimperium公开报告了这个极为致命的漏洞,引发全球移动产业和Android用户的恐慌,Google、运营商以及手机制造商们手忙脚乱地向全球数以亿计的Android用户发送补丁。

虽然Google及其合作伙伴极力请求Zimperium延迟发布Stagefright漏洞的攻击验证代码,但是本周三Zimperium还是毅然决然地发布了一段能够攻击CVE-2015-1538漏洞的Python脚本。攻击者可以利用这段代码劫持用户的Android手机进行拍照和窃听,但是无法攻击版本为5.0或更高版本的Android系统。(目前5.0及以上版本的Android设备只占总体数量的18%左右,关于Android版本数量统计请点击这里查看)

针对外界对Google修补Stagefright漏洞不利的各种指责,Google近日也呼吁Android产业链将补丁更新周期缩短到30天,这也是苹果、微软和Adobe等公司早就执行的的行业标准周期。Google决定身先士卒,为Nexus品牌Android手机推出每月更新安全补丁的服务。三星和LG公司也相应号召推出类似的针对三星手机的补丁更新项目。

但是由于Android的碎片化,每个厂商和运营商都需要开发自己的Stagefright漏洞补丁,而不同厂商的技术实力和安全策略也不尽相同,因此整个Android生态的版本同步和补丁更新周期的提升注定不会一蹴而就,这意味着黑客们还有足够长的时间窗口来利用Zimperium公开的攻击代码。

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:


关于作者

传媒领域资深人士,IT行业净坛使者。 联系邮箱:zhanglin@ctocio.com