Android两大新漏洞曝光 逾10亿部设备面临被黑风险

nschcl

谷歌Android系统

凤凰科技讯 北京时间10月2日消息，据《财富》杂志网络版报道，安全研究人员周四宣布，他们在谷歌Android系统中发现了两个高危漏洞，逾10亿部Android设备面临被黑的风险。
研究人员称，这意味着“几乎每部Android设备”都受到了影响，从Android 1.0设备到最新Android 5.0设备。
攻击者可以利用这些漏洞欺骗用户访问含有恶意MP3或MP4文件的网站。一旦用户预览了受感染的多媒体文件(一般包装成音乐或视频)，用户的个人电脑就会迅速被入侵。该问题涉及到Android如何通过媒体播放引擎Stagefright处理这些文件的元数据。
这并不是研究人员首次发现这部分Android代码存在被大范围入侵的风险。今年初，发现这一漏洞的移动安全公司Zimperium zLabs披露了7个严重Stragefright漏洞。这些漏洞能够令黑客通过一条受感染多媒体文本信息劫持多达9.5亿部Android设备。
最新漏洞被研究人员称之为“Stragefright 2.0”，和首批公布的Stragefright漏洞类似，它能够允许黑客取得对受感染设备的控制权，并访问设备上的数据、照片、摄像头以及麦克风。总体来说，由于新漏洞影响的设备更多，引发的问题更为广泛。
首个新漏洞被标记为CVE-2015-6602，它能影响自2008年第一代Android系统发布后所推出的几乎每一部Android设备；第二个新漏洞被标记为CVE-2015-3876，影响运行Android 5.0及以上版本的设备，而且会让这些问题更易触发。

Zimperium创始人兼董事长祖克·阿拉哈姆(Zuk Avraham)隐藏了特定信息，以防止其他人利用这一漏洞，但他将新漏洞与第一代Stragefright进行了比较。“这是一个同样严重的漏洞，”他表示，“能够产生相同的破坏力。”
谷歌发言人在一封电邮中称，公司已开发了补丁，正等待推送。“包括Zimperium报告的漏洞在内的问题，将在10月5日推出的Android月度安全更新中予以修复，”该发言人称。这就意味着，谷歌将从10月5日开始面向Nexus设备公开推送补丁。
谷歌发言人称，公司已经在9月10日向其Android制造商合作伙伴和运营商提供了修复方案，目前正与后者合作“尽快推送更新”。现在还没有这一漏洞被黑客利用的报道出现。