Android在一個叫做“Stagefright”的元件中有一個巨大的安全漏洞，僅僅是收到一條惡意的MMS資訊就可能導致你的**受到攻擊。令人驚訝的是，我們還沒有看到蠕蟲像早期WindowsXP時代的蠕蟲那樣在**之間傳播——所有的成分都在這裡。

實際上比聽起來更糟。媒體主要關注的是彩信攻擊方法，但即使是網頁或應用程式中嵌入的MP4影片也可能危及你的**或平板電腦。

為什麼舞臺燈光的缺陷是危險的-不僅僅是彩信

一些評論員稱這種攻擊為“Stagefright”，但實際上是對Android中一個名為Stagefright的元件的攻擊。這是Android中的一個多媒體播放器元件。它有一個漏洞，可以利用-最危險的是透過彩信，這是一個嵌入多媒體元件的文字訊息。

許多Android****商不明智地選擇授予Stagefright系統許可權，這比root訪問許可權低了一步。利用Stagefright，攻擊者可以使用“媒體”或“系統”許可權執行任意程式碼，具體取決於裝置的配置方式。系統許可權將使攻擊者基本上完全訪問其裝置。發現並報告這一問題的組織Zimperium提供了更多細節。

典型的Android簡訊應用程式會自動檢索收到的彩信。這意味著你可能會受到損害，只是有人透過電話網路向你傳送資訊。當你的**受到威脅時，使用此漏洞的蠕蟲可以讀取你的聯絡人並向你的聯絡人傳送惡意彩信，就像1999年使用Outlook和電子郵件聯絡人的Melissa病毒一樣像野火一樣傳播。

最初的報道集中在MMS上，因為這是舞臺攝影最具潛在危險的媒介。但不僅僅是彩信。正如Trend Micro所指出的，此漏洞存在於“mediaserver”元件中，網頁上嵌入的惡意MP4檔案可以利用此漏洞進行攻擊—是的，只需導航到web瀏覽器中的網頁即可。一個嵌入在應用程式中的MP4檔案，如果想利用你的裝置進行攻擊，也可以這樣做。

您的智慧**或平板電腦是否易受攻擊？

您的Android裝置可能易受攻擊。95%的Android裝置在野外很容易受到stageflight的攻擊。

要確認，請從googleplay安裝Stagefright探測器應用程式。這個應用程式是由Zimperium開發的，它發現並報告了Stagefright漏洞。它會檢查你的裝置，並告訴你Stagefright是否已經在你的Android**上打過補丁。

如何防止舞臺燈光攻擊，如果你是脆弱的

據我們所知，Android防病毒應用不會讓你免受Stagefright攻擊。他們不一定有足夠的系統許可權來攔截彩信和干擾系統元件。谷歌也無法更新Android中的googleplay服務元件來修復這個漏洞，當出現安全漏洞時，谷歌經常採用這種拼湊的解決方案。

要真正防止自己受到損害，您需要防止您選擇的簡訊應用程式下載和啟動彩信。一般來說，這意味著禁用其設定中的“彩信自動檢索”設定。當您收到彩信時，它不會自動下載-您必須透過點選佔位符或類似的方式下載。除非你選擇下載彩信，否則你不會有危險。

你不應該這樣做。如果彩信是你不認識的人發來的，一定要忽略它。如果彩信是從朋友那裡發來的，那麼如果蠕蟲病毒真的開始傳播，他們的**就有可能受到攻擊。如果**易受攻擊，最好不要下載彩信。

要禁用彩信自動檢索，請按照適用於您的簡訊應用程式的相應步驟操作。

• 訊息（內置於Android）：開啟訊息，點選選單按鈕，然後點選設定。向下滾動至“彩信”部分，取消選擇“自動檢索”
• Messenger（由Google提供）：開啟Messenger，輕觸選單，輕觸設定，輕觸高階，然後禁用“自動檢索”
• Hangouts（透過Google）：開啟Hangouts，點選選單，然後導航到Settings>SMS。取消選中“高階”下的“自動檢索簡訊”。（如果您在此處未看到簡訊選項，則說明您的**未使用Hangouts傳送簡訊。禁用您使用的SMS應用程式中的設定。）
• Messages（由Samsung提供）：開啟Messages並導航到More>Settings>More Settings。輕觸彩信並禁用“自動檢索”選項。此設定可能在不同三星裝置上的不同位置，這些裝置使用不同版本的Messages應用程式。

在這裡不可能建立一個完整的清單。只需開啟你用來發送簡訊息（文字資訊）的應用程式，並尋找一個選項，將禁用“自動檢索”或“自動下載”的彩信。

警告：如果您選擇下載彩信，您仍然易受攻擊。而且，由於Stagefright漏洞不僅僅是一個MMS訊息問題，這並不能完全保護您免受任何型別的攻擊。

你的**什麼時候打補丁？

相關：為什麼你的Android**沒有得到作業系統更新，你能做些什麼

與其嘗試解決這個bug，不如你的**剛剛收到一個修正了它的更新。不幸的是，Android更新的情況目前是一場噩夢。如果你有一個最近的旗艦**，你可能會期待在某個時候升級-希望。如果你有一部舊**，尤其是一部低端**，很有可能你永遠不會收到更新。

• Nexus裝置：谷歌目前已經發布了Nexus 4、Nexus 5、Nexus 6、Nexus 7（2013）、Nexus 9和Nexus 10的更新。原來的Nexus7（2012）顯然不再受支援，也不會被修補
• 三星：Sprint已經開始推出Galaxy S5、S6、S6 Edge和Note Edge的更新。目前尚不清楚其他運營商何時推出這些更新。

谷歌還告訴Ars Technica，“最受歡迎的Android裝置”將在8月份得到更新，包括：

• 三星：Galaxy S3、S4和Note 4，以及上述**。
• 巨集達電：一個M7，一個M8和一個M9。
• LG:G2、G3和G4。
• 索尼：Xperia Z2、Z3、Z4和Z3緊湊型。
• 谷歌支援的Android One裝置

摩托羅拉還宣佈將從8月份開始對其**進行更新，包括Moto X（第一代和第二代）、Moto X Pro、Moto Maxx/Turbo、Moto G（第一代、第二代和第三代）、Moto G（第一代和第二代）、Moto E（第一代和第二代）、Moto E（第二代）和DROID Turbo，還有DROID Ultra/Mini/Maxx。

谷歌Nexus、三星和LG都承諾每月更新一次**安全更新。然而，這一承諾只適用於旗艦**，需要運營商的合作。目前還不清楚這會有多好的結果。運營商可能會阻礙這些更新，而這仍然會導致大量不同型號的在用**沒有更新。

或者，安裝cyanogenmod

相關：在Android裝置上安裝LineageOS的8個原因

CyanogenMod是Android的第三方定製ROM，經常被愛好者使用。它為**商已經停止支援的裝置帶來了最新版本的Android。對於普通人來說，這並不是一個理想的解決方案，因為它需要解鎖**的載入程式。但是，如果你的**是支援的，你可以使用這個技巧獲得當前版本的安卓與當前的安全更新。如果****商不再支援您的**，那麼安裝CyanogenMod並不是一個壞主意。

CyanogenMod已經修復了夜間版本中的Stagefright漏洞，並且該修復程式將很快透過OTA更新進入穩定版本。

android有一個問題：大多數裝置都沒有安全更新

相關報道：為什麼iphone比Android**更安全

遺憾的是，這只是舊安卓裝置造成的眾多安全漏洞之一。這只是一個特別糟糕的問題，引起了更多的關注。例如，大多數Android裝置（所有執行android4.3及以上版本的裝置）都有易受攻擊的web瀏覽器元件。除非裝置升級到新版本的Android，否則這將永遠不會被修補。你可以透過執行Chrome或Firefox來保護自己，但在這些裝置被替換之前，易受攻擊的瀏覽器將永遠存在這些裝置上。**商對更新和維護它們不感興趣，這就是為什麼這麼多人轉向CyanogenMod的原因。

谷歌、Android裝置**商和**運營商需要整頓自己的行為，因為目前更新Android裝置的方法（或者更確切地說，不更新Android裝置）正導致Android生態系統的出現，隨著時間的推移，裝置會逐漸形成漏洞。這就是為什麼iphone比Android**更安全——iphone實際上得到了安全更新。蘋果承諾更新iphone的時間要比谷歌（僅限Nexus**）長，三星和LG也將趕來升級他們的**。

你可能聽說過使用WindowsXP是危險的，因為它不再被更新。隨著時間的推移，XP將繼續建立安全漏洞，變得越來越脆弱。嗯，使用大多數安卓**也是一樣的——它們也不會收到安全更新。

一些漏洞緩解措施有助於防止Stagefright蠕蟲入侵數百萬部Android**。谷歌認為，ASLR和其他對Android最新版本的保護有助於防止Stagefright受到攻擊，這似乎部分是正確的。

一些**運營商似乎也在遮蔽其終端上可能存在的惡意彩信，阻止它們接觸到易受攻擊的**。這將有助於防止蠕蟲透過彩信傳播，至少在採取行動的運營商身上是這樣。

圖片來源：Flickr上的Matteo Doni