8.5億安卓設(shè)備仍受Stagefright漏洞影響 已被發(fā)現(xiàn)一年

北京時(shí)間3月25日消息，據(jù)科技網(wǎng)站ZDNet報(bào)道，聲名狼藉的Stagefright漏洞已經(jīng)被發(fā)現(xiàn)近一年了，但超過8.5億安卓設(shè)備仍在遭受它的潛在威脅，不計(jì)其數(shù)的智能手機(jī)和平板電腦仍處于被劫持的風(fēng)險(xiǎn)之中。

Stagefight漏洞由網(wǎng)絡(luò)安全團(tuán)隊(duì)Zimperium的研究員喬舒亞·德雷克(Joshua Drake)在去年發(fā)現(xiàn)，它被稱為“迄今發(fā)現(xiàn)最嚴(yán)重的安卓漏洞之一”。

Stagefight漏洞能夠攻擊任何運(yùn)行Android 2.2或以上系統(tǒng)的設(shè)備，允許攻擊者在用戶毫無察覺的情況下劫持設(shè)備。它僅通過利用安卓系統(tǒng)內(nèi)置的媒體庫就能做到這一點(diǎn)，媒體庫能夠被引發(fā)運(yùn)行惡意代碼，令黑客進(jìn)入用戶所有的文件。

實(shí)際上，自漏洞曝光后，谷歌一直持續(xù)不斷發(fā)布補(bǔ)丁、升級以及其他修復(fù)措施。但Zimperium稱，數(shù)億安卓智能手機(jī)和平板電腦仍曝光在這一漏洞之下，總數(shù)約有6億到8.57億部。該數(shù)據(jù)是基于一份研究報(bào)告而來，報(bào)告稱，盡管谷歌不斷發(fā)布更新，但43%的安卓設(shè)備仍可能遭受代號為“CVE-2015-3864”漏洞的攻擊。

研究人員透露，部分原因起源于，安卓廠商們推送Stagefright安全補(bǔ)丁的方式存在問題。實(shí)際上，這些安全更新將會把用戶曝光在其他一些列漏洞之下。索尼，摩托羅拉，三星，華碩，LG和華為全部在無意中中招，非但未減少用戶被攻擊的概率，還令其增加了。

Zimperium還曝光了新的Stagefight漏洞，例如本月早些時(shí)候發(fā)現(xiàn)的Metaphor，目前僅有少數(shù)設(shè)備已針對其打過補(bǔ)丁，因?yàn)槊看胃轮挥猩贁?shù)設(shè)備能接收到。

谷歌希望即將發(fā)布的Android N操作系統(tǒng)能夠修復(fù)這一漏洞，但Zimperium研究員表示，整個(gè)安卓生態(tài)系統(tǒng)全部運(yùn)行Android N將需要好幾年時(shí)間。

一些更新并不適用于老款設(shè)備也是個(gè)問題，這些設(shè)備未運(yùn)行較新的安卓系統(tǒng)，將無法接收到補(bǔ)丁。

此外就是老生常談的安卓系統(tǒng)碎片化問題。雖然谷歌每月發(fā)布補(bǔ)丁確保能夠防護(hù)Stagefright漏洞，但廠商們在同意和執(zhí)行更新方面行動緩慢。

Zimperium還建議運(yùn)營商和即時(shí)消息應(yīng)用公司做好準(zhǔn)備，封鎖帶有鏈接的短消息，如果有“蠕蟲”開始擴(kuò)散的話。