Android新漏洞:預覽MP3文件也可能中招
安全研究機構 Zimperium 近日披露了 Android 操作系統名為 “Stagefright” 的新漏洞,其威脅性在於打開一個 mp3 文件也可能令手機被病毒感染。
這可算是 Zimperium 發現的Stagefright漏洞的 2.0 版。據稱該公司今年4月 發現的 1.0 版漏洞可感染 1.0 版以上的 Android 系統,而當前的這個漏洞則會感染 Android5.0 以上的系統。
該漏洞與 MP3、MP4 文件內的元數據處理有關—只要用户預覽某被預先處理過的歌曲或視頻,就會被攻擊者利用其中的漏洞來遠程執行代碼。根據 Zimperium 介紹,用户最有可能被感染的方式是通過 Web 瀏覽器訪問這些被處理過的 MP3 或 MP4 文件,然後把用户引導到受攻擊者控制的網站,或者利用中間人攻擊來注入病毒。此外,由於該漏洞是在 stagefright 庫中被發現的,鑑於該庫也被部分媒體播放器使用,所以其他的第三方 app 也可能受感染(目前尚未發現)。
由於漏洞的補丁仍在製作當中,所以 Zimperium 暫時不會公佈病毒的概念驗證代碼,但是會在補丁發佈後升級 Stagefright 檢測 app。
Zimperium 已經在今年8月15號將漏洞通知給 Google,按照計劃,後者將會在下週的 Nexus Security Bulletin 上發佈相關補丁。另據 Motherboard 介紹,推出不久的 Android Marshmallow(棉花糖)已經內置了補丁,但是安裝該版本的 Android 手機顯然不會太多。而小米、三星、HTC 等利用 Android 修改而成的操作系統也需要自行發佈相關補丁。
本文參考了多個信息來源:blog.zimperium.com、thenextweb.com
“看完這篇還不夠?如果你也在創業,並且希望自己的項目被報道,請戳這裏告訴我們!”
資料來源:36Kr