Android在一個叫做“Stagefright”的元件中有一個巨大的安全漏洞,僅僅是收到一條惡意的MMS資訊就可能導致你的**受到攻擊。令人驚訝的是,我們還沒有看到蠕蟲像早期WindowsXP時代的蠕蟲那樣在**之間傳播——所有的成分都在這裡。
實際上比聽起來更糟。媒體主要關注的是彩信攻擊方法,但即使是網頁或應用程式中嵌入的MP4影片也可能危及你的**或平板電腦。
一些評論員稱這種攻擊為“Stagefright”,但實際上是對Android中一個名為Stagefright的元件的攻擊。這是Android中的一個多媒體播放器元件。它有一個漏洞,可以利用-最危險的是透過彩信,這是一個嵌入多媒體元件的文字訊息。
許多Android****商不明智地選擇授予Stagefright系統許可權,這比root訪問許可權低了一步。利用Stagefright,攻擊者可以使用“媒體”或“系統”許可權執行任意程式碼,具體取決於裝置的配置方式。系統許可權將使攻擊者基本上完全訪問其裝置。發現並報告這一問題的組織Zimperium提供了更多細節。
典型的Android簡訊應用程式會自動檢索收到的彩信。這意味著你可能會受到損害,只是有人透過電話網路向你傳送資訊。當你的**受到威脅時,使用此漏洞的蠕蟲可以讀取你的聯絡人並向你的聯絡人傳送惡意彩信,就像1999年使用Outlook和電子郵件聯絡人的Melissa病毒一樣像野火一樣傳播。
最初的報道集中在MMS上,因為這是舞臺攝影最具潛在危險的媒介。但不僅僅是彩信。正如Trend Micro所指出的,此漏洞存在於“mediaserver”元件中,網頁上嵌入的惡意MP4檔案可以利用此漏洞進行攻擊—是的,只需導航到web瀏覽器中的網頁即可。一個嵌入在應用程式中的MP4檔案,如果想利用你的裝置進行攻擊,也可以這樣做。
您的Android裝置可能易受攻擊。95%的Android裝置在野外很容易受到stageflight的攻擊。
要確認,請從googleplay安裝Stagefright探測器應用程式。這個應用程式是由Zimperium開發的,它發現並報告了Stagefright漏洞。它會檢查你的裝置,並告訴你Stagefright是否已經在你的Android**上打過補丁。
據我們所知,Android防病毒應用不會讓你免受Stagefright攻擊。他們不一定有足夠的系統許可權來攔截彩信和干擾系統元件。谷歌也無法更新Android中的googleplay服務元件來修復這個漏洞,當出現安全漏洞時,谷歌經常採用這種拼湊的解決方案。
要真正防止自己受到損害,您需要防止您選擇的簡訊應用程式下載和啟動彩信。一般來說,這意味著禁用其設定中的“彩信自動檢索”設定。當您收到彩信時,它不會自動下載-您必須透過點選佔位符或類似的方式下載。除非你選擇下載彩信,否則你不會有危險。
你不應該這樣做。如果彩信是你不認識的人發來的,一定要忽略它。如果彩信是從朋友那裡發來的,那麼如果蠕蟲病毒真的開始傳播,他們的**就有可能受到攻擊。如果**易受攻擊,最好不要下載彩信。
要禁用彩信自動檢索,請按照適用於您的簡訊應用程式的相應步驟操作。
在這裡不可能建立一個完整的清單。只需開啟你用來發送簡訊息(文字資訊)的應用程式,並尋找一個選項,將禁用“自動檢索”或“自動下載”的彩信。
警告:如果您選擇下載彩信,您仍然易受攻擊。而且,由於Stagefright漏洞不僅僅是一個MMS訊息問題,這並不能完全保護您免受任何型別的攻擊。
相關:為什麼你的Android**沒有得到作業系統更新,你能做些什麼
與其嘗試解決這個bug,不如你的**剛剛收到一個修正了它的更新。不幸的是,Android更新的情況目前是一場噩夢。如果你有一個最近的旗艦**,你可能會期待在某個時候升級-希望。如果你有一部舊**,尤其是一部低端**,很有可能你永遠不會收到更新。
谷歌還告訴Ars Technica,“最受歡迎的Android裝置”將在8月份得到更新,包括:
摩托羅拉還宣佈將從8月份開始對其**進行更新,包括Moto X(第一代和第二代)、Moto X Pro、Moto Maxx/Turbo、Moto G(第一代、第二代和第三代)、Moto G(第一代和第二代)、Moto E(第一代和第二代)、Moto E(第二代)和DROID Turbo,還有DROID Ultra/Mini/Maxx。
谷歌Nexus、三星和LG都承諾每月更新一次**安全更新。然而,這一承諾只適用於旗艦**,需要運營商的合作。目前還不清楚這會有多好的結果。運營商可能會阻礙這些更新,而這仍然會導致大量不同型號的在用**沒有更新。
相關:在Android裝置上安裝LineageOS的8個原因
CyanogenMod是Android的第三方定製ROM,經常被愛好者使用。它為**商已經停止支援的裝置帶來了最新版本的Android。對於普通人來說,這並不是一個理想的解決方案,因為它需要解鎖**的載入程式。但是,如果你的**是支援的,你可以使用這個技巧獲得當前版本的安卓與當前的安全更新。如果****商不再支援您的**,那麼安裝CyanogenMod並不是一個壞主意。
CyanogenMod已經修復了夜間版本中的Stagefright漏洞,並且該修復程式將很快透過OTA更新進入穩定版本。
相關報道:為什麼iphone比Android**更安全
遺憾的是,這只是舊安卓裝置造成的眾多安全漏洞之一。這只是一個特別糟糕的問題,引起了更多的關注。例如,大多數Android裝置(所有執行android4.3及以上版本的裝置)都有易受攻擊的web瀏覽器元件。除非裝置升級到新版本的Android,否則這將永遠不會被修補。你可以透過執行Chrome或Firefox來保護自己,但在這些裝置被替換之前,易受攻擊的瀏覽器將永遠存在這些裝置上。**商對更新和維護它們不感興趣,這就是為什麼這麼多人轉向CyanogenMod的原因。
谷歌、Android裝置**商和**運營商需要整頓自己的行為,因為目前更新Android裝置的方法(或者更確切地說,不更新Android裝置)正導致Android生態系統的出現,隨著時間的推移,裝置會逐漸形成漏洞。這就是為什麼iphone比Android**更安全——iphone實際上得到了安全更新。蘋果承諾更新iphone的時間要比谷歌(僅限Nexus**)長,三星和LG也將趕來升級他們的**。
你可能聽說過使用WindowsXP是危險的,因為它不再被更新。隨著時間的推移,XP將繼續建立安全漏洞,變得越來越脆弱。嗯,使用大多數安卓**也是一樣的——它們也不會收到安全更新。
一些漏洞緩解措施有助於防止Stagefright蠕蟲入侵數百萬部Android**。谷歌認為,ASLR和其他對Android最新版本的保護有助於防止Stagefright受到攻擊,這似乎部分是正確的。
一些**運營商似乎也在遮蔽其終端上可能存在的惡意彩信,阻止它們接觸到易受攻擊的**。這將有助於防止蠕蟲透過彩信傳播,至少在採取行動的運營商身上是這樣。
圖片來源:Flickr上的Matteo Doni
... 由於Android基於Linux核心,大多數Android裝置也受到影響。 ...
...新的智慧**。2017年給了我們新一代iPhone,以及一些出色的Android**(我們的三星Galaxy S8和OnePlus 5評論)。 ...
...行的,所以所有型別的**都很容易受到攻擊,包括iPhone和Android裝置,甚至在嵌入式SIM卡(ESIM)上也可以。 ...
如果你是一個Android應用程式開發人員,對安全問題有敏銳的嗅覺,那麼把你的技能借給谷歌就可以得到報酬。駭客們成功地在谷歌Play商店植入了被惡意軟體感染的應用程式,其中一些應用程式獲得了數百萬次下載。 ...
...Play安全更新,無論它們是否有最新的安全補丁。 2015年的Stagefright安全漏洞就是谷歌Play系統更新的一個很好的例子。Stagefright是對Android中多媒體播放器元件的攻擊。媒體框架是12個可以透過googleplay系統更新的元件之一。許多裝置...
微軟的Fall Creators更新最終為Windows添加了整合的漏洞保護。你以前必須透過微軟的EMET工具來尋找這個問題。它現在是Windows Defender的一部分,預設情況下處於啟用狀態。 windows defender的漏洞保護工作原理 相關報道:windows10的秋...
...到KRACK的攻擊,至少在某些形狀或形式上是如此。Linux和Android裝置最容易受到攻擊,由於它們使用的是特定的Wi-Fi客戶端,因此很容易看到這些裝置傳輸的大量資料。請注意,KRACK不會向攻擊者透露您的Wi-Fi密碼,因此更改它不會...
...發生在壞人領先於好人的時候,用我們根本不知道存在的漏洞攻擊我們。當我們沒有時間準備防禦時就會發生這種情況。 軟體易受攻擊 軟體並不完美。你正在閱讀的瀏覽器——無論是Chrome、Firefox、internetexplorer還是其他什麼—...
...全公司一直在推廣他們的Android防病毒應用程式,利用對Stagefright漏洞的擔憂來銷售安全軟體。但是安卓防病毒軟體在這裡幫不了你。 防毒軟體在windows上如何工作,在android上如何不工作 相關報道:Android的Stagefright漏洞:你需要...