Android在一个叫做“Stagefright”的组件中有一个巨大的安全漏洞,仅仅是收到一条恶意的MMS信息就可能导致你的**受到攻击。令人惊讶的是,我们还没有看到蠕虫像早期WindowsXP时代的蠕虫那样在**之间传播——所有的成分都在这里。
实际上比听起来更糟。媒体主要关注的是彩信攻击方法,但即使是网页或应用程序中嵌入的MP4视频也可能危及你的**或平板电脑。
一些评论员称这种攻击为“Stagefright”,但实际上是对Android中一个名为Stagefright的组件的攻击。这是Android中的一个多媒体播放器组件。它有一个漏洞,可以利用-最危险的是通过彩信,这是一个嵌入多媒体组件的文本消息。
许多Android****商不明智地选择授予Stagefright系统权限,这比root访问权限低了一步。利用Stagefright,攻击者可以使用“媒体”或“系统”权限运行任意代码,具体取决于设备的配置方式。系统权限将使攻击者基本上完全访问其设备。发现并报告这一问题的组织Zimperium提供了更多细节。
典型的Android短信应用程序会自动检索收到的彩信。这意味着你可能会受到损害,只是有人通过电话网络向你发送信息。当你的**受到威胁时,使用此漏洞的蠕虫可以读取你的联系人并向你的联系人发送恶意彩信,就像1999年使用Outlook和电子邮件联系人的Melissa病毒一样像野火一样传播。
最初的报道集中在MMS上,因为这是舞台摄影最具潜在危险的媒介。但不仅仅是彩信。正如Trend Micro所指出的,此漏洞存在于“mediaserver”组件中,网页上嵌入的恶意MP4文件可以利用此漏洞进行攻击—是的,只需导航到web浏览器中的网页即可。一个嵌入在应用程序中的MP4文件,如果想利用你的设备进行攻击,也可以这样做。
您的Android设备可能易受攻击。95%的Android设备在野外很容易受到stageflight的攻击。
要确认,请从googleplay安装Stagefright探测器应用程序。这个应用程序是由Zimperium开发的,它发现并报告了Stagefright漏洞。它会检查你的设备,并告诉你Stagefright是否已经在你的Android**上打过补丁。
据我们所知,Android防病毒应用不会让你免受Stagefright攻击。他们不一定有足够的系统权限来拦截彩信和干扰系统组件。谷歌也无法更新Android中的googleplay服务组件来修复这个漏洞,当出现安全漏洞时,谷歌经常采用这种拼凑的解决方案。
要真正防止自己受到损害,您需要防止您选择的短信应用程序下载和启动彩信。一般来说,这意味着禁用其设置中的“彩信自动检索”设置。当您收到彩信时,它不会自动下载-您必须通过点击占位符或类似的方式下载。除非你选择下载彩信,否则你不会有危险。
你不应该这样做。如果彩信是你不认识的人发来的,一定要忽略它。如果彩信是从朋友那里发来的,那么如果蠕虫病毒真的开始传播,他们的**就有可能受到攻击。如果**易受攻击,最好不要下载彩信。
要禁用彩信自动检索,请按照适用于您的短信应用程序的相应步骤操作。
在这里不可能建立一个完整的清单。只需打开你用来发送短信息(文本信息)的应用程序,并寻找一个选项,将禁用“自动检索”或“自动下载”的彩信。
警告:如果您选择下载彩信,您仍然易受攻击。而且,由于Stagefright漏洞不仅仅是一个MMS消息问题,这并不能完全保护您免受任何类型的攻击。
相关:为什么你的Android**没有得到操作系统更新,你能做些什么
与其尝试解决这个bug,不如你的**刚刚收到一个修正了它的更新。不幸的是,Android更新的情况目前是一场噩梦。如果你有一个最近的旗舰**,你可能会期待在某个时候升级-希望。如果你有一部旧**,尤其是一部低端**,很有可能你永远不会收到更新。
谷歌还告诉Ars Technica,“最受欢迎的Android设备”将在8月份得到更新,包括:
摩托罗拉还宣布将从8月份开始对其**进行更新,包括Moto X(第一代和第二代)、Moto X Pro、Moto Maxx/Turbo、Moto G(第一代、第二代和第三代)、Moto G(第一代和第二代)、Moto E(第一代和第二代)、Moto E(第二代)和DROID Turbo,还有DROID Ultra/Mini/Maxx。
谷歌Nexus、三星和LG都承诺每月更新一次**安全更新。然而,这一承诺只适用于旗舰**,需要运营商的合作。目前还不清楚这会有多好的结果。运营商可能会阻碍这些更新,而这仍然会导致大量不同型号的在用**没有更新。
相关:在Android设备上安装LineageOS的8个原因
CyanogenMod是Android的第三方定制ROM,经常被爱好者使用。它为**商已经停止支持的设备带来了最新版本的Android。对于普通人来说,这并不是一个理想的解决方案,因为它需要解锁**的引导程序。但是,如果你的**是支持的,你可以使用这个技巧获得当前版本的安卓与当前的安全更新。如果****商不再支持您的**,那么安装CyanogenMod并不是一个坏主意。
CyanogenMod已经修复了夜间版本中的Stagefright漏洞,并且该修复程序将很快通过OTA更新进入稳定版本。
相关报道:为什么iphone比Android**更安全
遗憾的是,这只是旧安卓设备造成的众多安全漏洞之一。这只是一个特别糟糕的问题,引起了更多的关注。例如,大多数Android设备(所有运行android4.3及以上版本的设备)都有易受攻击的web浏览器组件。除非设备升级到新版本的Android,否则这将永远不会被修补。你可以通过运行Chrome或Firefox来保护自己,但在这些设备被替换之前,易受攻击的浏览器将永远存在这些设备上。**商对更新和维护它们不感兴趣,这就是为什么这么多人转向CyanogenMod的原因。
谷歌、Android设备**商和**运营商需要整顿自己的行为,因为目前更新Android设备的方法(或者更确切地说,不更新Android设备)正导致Android生态系统的出现,随着时间的推移,设备会逐渐形成漏洞。这就是为什么iphone比Android**更安全——iphone实际上得到了安全更新。苹果承诺更新iphone的时间要比谷歌(仅限Nexus**)长,三星和LG也将赶来升级他们的**。
你可能听说过使用WindowsXP是危险的,因为它不再被更新。随着时间的推移,XP将继续建立安全漏洞,变得越来越脆弱。嗯,使用大多数安卓**也是一样的——它们也不会收到安全更新。
一些漏洞缓解措施有助于防止Stagefright蠕虫入侵数百万部Android**。谷歌认为,ASLR和其他对Android最新版本的保护有助于防止Stagefright受到攻击,这似乎部分是正确的。
一些**运营商似乎也在屏蔽其终端上可能存在的恶意彩信,阻止它们接触到易受攻击的**。这将有助于防止蠕虫通过彩信传播,至少在采取行动的运营商身上是这样。
图片来源:Flickr上的Matteo Doni
... 由于Android基于Linux内核,大多数Android设备也受到影响。 ...
...行的,所以所有类型的**都很容易受到攻击,包括iPhone和Android设备,甚至在嵌入式SIM卡(ESIM)上也可以。 ...
如果你是一个Android应用程序开发人员,对安全问题有敏锐的嗅觉,那么把你的技能借给谷歌就可以得到报酬。黑客们成功地在谷歌Play商店植入了被恶意软件感染的应用程序,其中一些应用程序获得了数百万次下载。 ...
...Play安全更新,无论它们是否有最新的安全补丁。 2015年的Stagefright安全漏洞就是谷歌Play系统更新的一个很好的例子。Stagefright是对Android中多媒体播放器组件的攻击。媒体框架是12个可以通过googleplay系统更新的组件之一。许多设备...
...到KRACK的攻击,至少在某些形状或形式上是如此。Linux和Android设备最容易受到攻击,由于它们使用的是特定的Wi-Fi客户端,因此很容易看到这些设备传输的大量数据。请注意,KRACK不会向攻击者透露您的Wi-Fi密码,因此更改它不会...
...发生在坏人领先于好人的时候,用我们根本不知道存在的漏洞攻击我们。当我们没有时间准备防御时就会发生这种情况。 软件易受攻击 软件并不完美。你正在阅读的浏览器——无论是Chrome、Firefox、internetexplorer还是其他什么—...
...全公司一直在推广他们的Android防病毒应用程序,利用对Stagefright漏洞的担忧来销售安全软件。但是安卓防病毒软件在这里帮不了你。 杀毒软件在windows上如何工作,在android上如何不工作 相关报道:Android的Stagefright漏洞:你需要...
...个成熟的操作系统,越狱的必要性也越来越低——就像在Android**上生根变得越来越不必要一样。 不要越狱只是为了越狱或使用一个小的调整。当然,如果你真的对某件事很感兴趣的话,你可能会想去做——但是要知道你在做什...
...的Android**没有得到操作系统更新,你能做些什么 最近的Stagefright MMS漏洞给了我们一个很好的案例研究,演示了当有人发现Android中的安全漏洞时会发生什么。Google创建补丁并将其应用到主要的Android开源项目代码中。谷歌随后将这...
...目标是多媒体信息系统。据研究人员估计,这个被称为“Stagefright”的漏洞影响了全球约9.5亿台Android设备,不过最易受攻击的设备是那些运行pre-Jelly-Bean版本Android的设备。谷歌已经发布了一个针对**商漏洞的修补程序,但大多数...