「怯場」漏洞修補有嚴重落差，還有8.5億Android裝置曝攻擊

jis2577

資安業者Zimperium近日發佈「怯場」漏洞後續追踨報告，指出與「怯場」 相關的漏洞中，分別有10%到43%不等的Android裝置仍無法抵禦，若以未修補率最高達42.84%的CVE-2015-3864漏洞來看，估算約有5.99億到8.56億台的Android裝置仍曝露在該漏洞的資安風險下。

去年7月發現的「怯場」(stagefright)函式庫漏洞，儘管Google早已釋出修補程式，但受限於Android系統過度分化的市場現實，以及手機業者的不夠積極，可能仍有高達8.5億台Android相關裝置仍無法免於漏洞的攻擊。

發現怯場漏洞的資安業者Zimperium

近日在官方部落格發表

關於該漏洞的追蹤報告，發現儘管八個多月的時間過去，但仍有大量Android裝置尚未安裝完整的修補程式。

該公司利用日前推出的怯場漏洞偵測程式所得的資料，發現與怯場相關的漏洞中，分別有10%到43%不等的Android裝置仍無法抵禦，若以未修補率最高達42.84%的CVE-2015-3864漏洞來看，以現在Android裝置總量約14億到20億估算，則約有5.99億到8.56億台Android裝置仍曝露在該漏洞的資安風險下。

由於修補更新程式仰賴手機與電信業者的積極程度，Zimperium發現，個別國家的修補率差距很大，若以未修補率最高達42.84%的CVE-2015-3864漏洞來說（如下圖，來源：Zimperium），阿爾及利亞與摩洛哥有將近75%的Android裝置還未安裝相關修補程式，表現最佳的南韓與加拿大，也有超過4分之1的裝置還未安裝該修補程式。

若從電信業者來看，Motorola、三星(Samsung)、華碩、樂金(LG)、華為等業者都還有相關漏洞未補。

2015年7月首度被發現的Stagefright漏洞有多種類型，能夠過發送多媒體簡訊、連上特定網站或撥放特定多媒體檔案等，便在使用者未察覺的狀況下感染裝置，取得該裝置的控制權，後續並有相關漏洞一一被揭發。Google自8月起已經陸續發出修補程式。