Google一年來已修補115個「怯場」相關的漏洞

william77

Android安全漏洞「怯場」自去年7月由資安業者揭露後，Google每次例行更新均會修補相關漏洞，一年來已修補115個漏洞，但由於Android新舊平台分佈零碎，加上更新大多掌控於裝置製造商與電信營運商手上，仍有許多用戶的Android裝置尚未更新修補，資安業估計尚需很多年修補才能普及至所有的Android用戶。

還記得資安業者Zimperium在去年7月揭露的Android安全漏洞「怯場」（Stagefright）嗎？這是一系列與Android處理多媒體有關的安全漏洞，只要一封惡意簡訊就能行駭，影響近10億台的Android裝置，自Stagefright曝光之後，Google每次都會修補相關漏洞，一年來已修補了115個。
攤開怯場漏洞對Android生態體系所帶來的影響，在去年7月27日被公開揭露後，Zimperium於8月1日發表Zimperium手機聯盟（Zimperium Handset Alliance，ZHA），鼓勵全球手機製造商及電信營運商加入以取得Zimperium所提供的平台更新，迄今已有25家業者參與；Google、三星與LG相繼進入每月例行性修補的標準程序；截至今年3月，全球仍有8.5億台Android裝置受到怯場漏洞影響；美國聯邦交易委員會（Federal Trade Commission，FTC）與美國聯邦通訊委員會（Federal Communications Commission，FCC）也因而在今年5月針對行動製造商與營運商的更新流程展開調查。
Zimperium說，從去年8月以來，Google每月的Android定期更新都會修補與多媒體相關的安全漏洞，例如今年7月所修補的107個安全漏洞中，就有17個與Mediaserver有關。
此外，Zimperium副總裁Joshua Drake則向eWeek透露，這一年來Google總計修補了115個攸關Mediaserver的安全漏洞，其中有49個位於Libstagefright、35個位於Libmedia，以及31個位於Libstagefright所仰賴的各種函式庫。
Drake說，他知道怯場漏洞會對Google與Android帶來衝擊，但沒想到會延續到一年之後。
另一方面，有鑑於多數Android用戶的更新能力掌控在裝置製造商與電信營運商的手上，Zimperium估計怯場漏洞的各種修補程式可能需要很多年才能觸及所有的Android用戶。
Zimperium在公布怯場漏洞後聲名大噪，除了獲得Google所提供的5萬美元獎勵之外，也使得該公司的募資更加容易。Zimperium亦透過Google Play供應了Stagefright Detector，以讓使用者偵測自己的Android裝置是否受到波及，迄今下載次數已突破50萬。