網絡安全機構Zimperium最近發現了Android設備的一個漏洞,攻擊者可利用該漏洞,在設備主人不知覺的情況下遠程訪問設備。Android 2.2到5.1的所有版本上均存在此漏洞,預計會有95%的Android設備受到影響。該公司計劃在8月份舉行的2015黑帽大會及Def Con黑客大會上披露自己的發現。
Zimperium是在一個名為Stagefright的媒體庫上發現了多個漏洞的。漏洞的利用過程是這樣的。黑客可以使用某人的電話號碼通過彩信的方式發送一個媒體文件,然後獲得訪問設備的入口。不過更嚴重的是設備主人甚至永遠都不會知道—攻擊者可以在機主睡覺的時候發送木馬、訪問手機,然後刪除手機被黑的證據。一旦準備就緒,攻擊者即可在遠程操控手機的麥克風、竊取文件、查看郵件並獲取個人證書等。
新發現的這一漏洞尤其具有危險性,因為它不像網絡釣魚等攻擊手段,需要打開攻擊者發送的文件或鏈接才會感染,哪怕受害者不做任何事情它也能偷偷地入侵設備並在用户發現前將證據抹掉。
Google方面已經給Android Open Source Project打了補丁並向合作伙伴提供,但是考慮到很多Android手機的系統更新速度相對滯後,安全起見用户最好還是主動一點找運營商或設備供應商去索取更新。不過Google也表示,包括新一點的設備在內的大多數Android設備已經設置了多種技術來保護系統,並且還有應用沙盒來將用户數據與其他應用進行區隔,所以漏洞的利用會更加困難。
按照IDC的預測,到今年年底,Android設備的佔有率將達到79.4%,出貨量越達11.5億,遠超蘋果的2.37億出貨量及16.5%額佔有率。但是根據安全機構F-Secure的數據,Android也是移動惡意軟件的首要攻擊目標,99%的惡意軟件都把Android作為攻擊對象。隨着智能手機在電子商務、支付等方面的使用越來越頻繁,積累的隱私數據越來越多,安全問題必須引起用户的高度重視。
本文參考了多個信息來源:venturebeat.com、forbes.com、cnet.com
資料來源:36Kr
請按此登錄後留言。未成為會員? 立即註冊