在线咨询

姓名:
电话:
邮箱:
主题:
留言:
验证:
   

联系我们

地址:上海市徐汇区漕溪北路18号上实大厦34楼c座
电话:13501613957
QQ:408429109\444639188
邮箱:444639188@qq.com
地铁1号、9号11号线
8号出口

网络侵权

当前位置: 主页 > 互联案例 > 网络侵权

新漏洞:一首歌即可攻陷所有Android设备

上海互联网律师www.hlwls.com,编辑:网站律师,来源:腾讯科技,作者:林靖东

TNW中文站 10月2日报道

Zimperium zLabs的安全研究员们发现了一种新的“Stagefright”漏洞,由于它的缘故,可能你只是打开了一个MP3文件就会令你的Android(安卓)手机中招。

据说现在已经出现了好几种利用该漏洞发起攻击的方式,其中一种攻击方式会影响到几乎所有的Android手机,因为只要手机运行的是2008年发布的Android 1.0及更高版本的系统都会受到影响;其他几种攻击方式则主要针对的是Android 5.0及更高版本的系统。

这种攻击被称作“Stagefright 2.0攻击”,它与系统处理MP3或MP4文件中的元数据的方式有关。只要用户手机上的Android系统预览了攻击者特别制作的歌曲或视频文件,攻击者就能在用户手机上执行远程代码。

它还影响到了第三方应用,因为在某些媒体播放器使用的libstagefright库中都被发现存在这个漏洞。截至本文发稿,安全界尚未发现利用这种方式发起攻击的真实案例。

由于这个漏洞尚未得到修复,因此现在没有该漏洞的概念验证码,但是一旦公开发布解决方案,公司将更新其Stagefright检测应用。

研究员们在8月15日向谷歌(微博)报告了这一漏洞,谷歌计划在10月份第二周的Nexus安全告示栏上发布一个补丁来修复此漏洞。

一些手机厂商比如小米、三星、HTC和索尼等自己也将发布升级补丁,但是它们还没有透露具体的计划内容。

据Motherboard称,Android Marshmallow将整合这个补丁,只是这将仅限于最新发布的设备。

对于不再接收升级的旧设备来说,情况就不太乐观了。这个安全漏洞可能会被修复,但是除非用户手动将手机系统刷到更新的版本,否则他们随时可能遭到攻击。

在互联网上发生这样大范围的攻击将会造成灾难性的后果,因为它只需要用户访问一个包含恶意文件的网址链接就行了,而这一点很容易做到,比如在一首看似合法的歌曲中执行一个下载命令就行了。(林靖东)

A single song could be used to exploit more than a billion Android phones

Owen is reporter for The Next Web based in Amsterdam, specializing in Apple, Microsoft, developer trends, security and privacy. Formerly a developer and infrastructure engineer. You can find him on Twitter at @ow and get in touch here. He also runs a weekly tech newsletter you'll love and co-runs The Apartment, a digital design agency.

互联网律师

首 页    |    公益援助    |    投诉建议    |    联系我们    |    在线留言