Android在一个叫做“Stagefright”的组件中有一个巨大的安全漏洞，仅仅是收到一条恶意的MMS信息就可能导致你的**受到攻击。令人惊讶的是，我们还没有看到蠕虫像早期WindowsXP时代的蠕虫那样在**之间传播——所有的成分都在这里。

实际上比听起来更糟。媒体主要关注的是彩信攻击方法，但即使是网页或应用程序中嵌入的MP4视频也可能危及你的**或平板电脑。

为什么舞台灯光的缺陷是危险的-不仅仅是彩信

一些评论员称这种攻击为“Stagefright”，但实际上是对Android中一个名为Stagefright的组件的攻击。这是Android中的一个多媒体播放器组件。它有一个漏洞，可以利用-最危险的是通过彩信，这是一个嵌入多媒体组件的文本消息。

许多Android****商不明智地选择授予Stagefright系统权限，这比root访问权限低了一步。利用Stagefright，攻击者可以使用“媒体”或“系统”权限运行任意代码，具体取决于设备的配置方式。系统权限将使攻击者基本上完全访问其设备。发现并报告这一问题的组织Zimperium提供了更多细节。

典型的Android短信应用程序会自动检索收到的彩信。这意味着你可能会受到损害，只是有人通过电话网络向你发送信息。当你的**受到威胁时，使用此漏洞的蠕虫可以读取你的联系人并向你的联系人发送恶意彩信，就像1999年使用Outlook和电子邮件联系人的Melissa病毒一样像野火一样传播。

最初的报道集中在MMS上，因为这是舞台摄影最具潜在危险的媒介。但不仅仅是彩信。正如Trend Micro所指出的，此漏洞存在于“mediaserver”组件中，网页上嵌入的恶意MP4文件可以利用此漏洞进行攻击—是的，只需导航到web浏览器中的网页即可。一个嵌入在应用程序中的MP4文件，如果想利用你的设备进行攻击，也可以这样做。

您的智能**或平板电脑是否易受攻击？

您的Android设备可能易受攻击。95%的Android设备在野外很容易受到stageflight的攻击。

要确认，请从googleplay安装Stagefright探测器应用程序。这个应用程序是由Zimperium开发的，它发现并报告了Stagefright漏洞。它会检查你的设备，并告诉你Stagefright是否已经在你的Android**上打过补丁。

如何防止舞台灯光攻击，如果你是脆弱的

据我们所知，Android防病毒应用不会让你免受Stagefright攻击。他们不一定有足够的系统权限来拦截彩信和干扰系统组件。谷歌也无法更新Android中的googleplay服务组件来修复这个漏洞，当出现安全漏洞时，谷歌经常采用这种拼凑的解决方案。

要真正防止自己受到损害，您需要防止您选择的短信应用程序下载和启动彩信。一般来说，这意味着禁用其设置中的“彩信自动检索”设置。当您收到彩信时，它不会自动下载-您必须通过点击占位符或类似的方式下载。除非你选择下载彩信，否则你不会有危险。

你不应该这样做。如果彩信是你不认识的人发来的，一定要忽略它。如果彩信是从朋友那里发来的，那么如果蠕虫病毒真的开始传播，他们的**就有可能受到攻击。如果**易受攻击，最好不要下载彩信。

要禁用彩信自动检索，请按照适用于您的短信应用程序的相应步骤操作。

• 消息（内置于Android）：打开消息，点击菜单按钮，然后点击设置。向下滚动至“彩信”部分，取消选择“自动检索”
• Messenger（由Google提供）：打开Messenger，轻触菜单，轻触设置，轻触高级，然后禁用“自动检索”
• Hangouts（通过Google）：打开Hangouts，点击菜单，然后导航到Settings>SMS。取消选中“高级”下的“自动检索短信”。（如果您在此处未看到短信选项，则说明您的**未使用Hangouts发送短信。禁用您使用的SMS应用程序中的设置。）
• Messages（由Samsung提供）：打开Messages并导航到More>Settings>More Settings。轻触彩信并禁用“自动检索”选项。此设置可能在不同三星设备上的不同位置，这些设备使用不同版本的Messages应用程序。

在这里不可能建立一个完整的清单。只需打开你用来发送短信息（文本信息）的应用程序，并寻找一个选项，将禁用“自动检索”或“自动下载”的彩信。

警告：如果您选择下载彩信，您仍然易受攻击。而且，由于Stagefright漏洞不仅仅是一个MMS消息问题，这并不能完全保护您免受任何类型的攻击。

你的**什么时候打补丁？

相关：为什么你的Android**没有得到操作系统更新，你能做些什么

与其尝试解决这个bug，不如你的**刚刚收到一个修正了它的更新。不幸的是，Android更新的情况目前是一场噩梦。如果你有一个最近的旗舰**，你可能会期待在某个时候升级-希望。如果你有一部旧**，尤其是一部低端**，很有可能你永远不会收到更新。

• Nexus设备：谷歌目前已经发布了Nexus 4、Nexus 5、Nexus 6、Nexus 7（2013）、Nexus 9和Nexus 10的更新。原来的Nexus7（2012）显然不再受支持，也不会被修补
• 三星：Sprint已经开始推出Galaxy S5、S6、S6 Edge和Note Edge的更新。目前尚不清楚其他运营商何时推出这些更新。

谷歌还告诉Ars Technica，“最受欢迎的Android设备”将在8月份得到更新，包括：

• 三星：Galaxy S3、S4和Note 4，以及上述**。
• 宏达电：一个M7，一个M8和一个M9。
• LG:G2、G3和G4。
• 索尼：Xperia Z2、Z3、Z4和Z3紧凑型。
• 谷歌支持的Android One设备

摩托罗拉还宣布将从8月份开始对其**进行更新，包括Moto X（第一代和第二代）、Moto X Pro、Moto Maxx/Turbo、Moto G（第一代、第二代和第三代）、Moto G（第一代和第二代）、Moto E（第一代和第二代）、Moto E（第二代）和DROID Turbo，还有DROID Ultra/Mini/Maxx。

谷歌Nexus、三星和LG都承诺每月更新一次**安全更新。然而，这一承诺只适用于旗舰**，需要运营商的合作。目前还不清楚这会有多好的结果。运营商可能会阻碍这些更新，而这仍然会导致大量不同型号的在用**没有更新。

或者，安装cyanogenmod

相关：在Android设备上安装LineageOS的8个原因

CyanogenMod是Android的第三方定制ROM，经常被爱好者使用。它为**商已经停止支持的设备带来了最新版本的Android。对于普通人来说，这并不是一个理想的解决方案，因为它需要解锁**的引导程序。但是，如果你的**是支持的，你可以使用这个技巧获得当前版本的安卓与当前的安全更新。如果****商不再支持您的**，那么安装CyanogenMod并不是一个坏主意。

CyanogenMod已经修复了夜间版本中的Stagefright漏洞，并且该修复程序将很快通过OTA更新进入稳定版本。

android有一个问题：大多数设备都没有安全更新

相关报道：为什么iphone比Android**更安全

遗憾的是，这只是旧安卓设备造成的众多安全漏洞之一。这只是一个特别糟糕的问题，引起了更多的关注。例如，大多数Android设备（所有运行android4.3及以上版本的设备）都有易受攻击的web浏览器组件。除非设备升级到新版本的Android，否则这将永远不会被修补。你可以通过运行Chrome或Firefox来保护自己，但在这些设备被替换之前，易受攻击的浏览器将永远存在这些设备上。**商对更新和维护它们不感兴趣，这就是为什么这么多人转向CyanogenMod的原因。

谷歌、Android设备**商和**运营商需要整顿自己的行为，因为目前更新Android设备的方法（或者更确切地说，不更新Android设备）正导致Android生态系统的出现，随着时间的推移，设备会逐渐形成漏洞。这就是为什么iphone比Android**更安全——iphone实际上得到了安全更新。苹果承诺更新iphone的时间要比谷歌（仅限Nexus**）长，三星和LG也将赶来升级他们的**。

你可能听说过使用WindowsXP是危险的，因为它不再被更新。随着时间的推移，XP将继续建立安全漏洞，变得越来越脆弱。嗯，使用大多数安卓**也是一样的——它们也不会收到安全更新。

一些漏洞缓解措施有助于防止Stagefright蠕虫入侵数百万部Android**。谷歌认为，ASLR和其他对Android最新版本的保护有助于防止Stagefright受到攻击，这似乎部分是正确的。

一些**运营商似乎也在屏蔽其终端上可能存在的恶意彩信，阻止它们接触到易受攻击的**。这将有助于防止蠕虫通过彩信传播，至少在采取行动的运营商身上是这样。

图片来源：Flickr上的Matteo Doni