日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

以色列移動(dòng)信息安全公司 Zimperium 研究人員 Joshua Drake 在 Android 系統(tǒng)中發(fā)現(xiàn)了多處安全漏洞，Android 2.2到5.1的所有版本上均存在此漏洞，預(yù)計(jì)會(huì)有95%的Android設(shè)備受到影響。只需簡(jiǎn)單的一條彩信，黑客就可能完全控制用戶手機(jī)。

創(chuàng)新互聯(lián)是一家以網(wǎng)絡(luò)技術(shù)公司，為中小企業(yè)提供網(wǎng)站維護(hù)、網(wǎng)站制作、成都網(wǎng)站建設(shè)、網(wǎng)站備案、服務(wù)器租用、申請(qǐng)域名、軟件開(kāi)發(fā)、重慶小程序開(kāi)發(fā)公司等企業(yè)互聯(lián)網(wǎng)相關(guān)業(yè)務(wù)，是一家有著豐富的互聯(lián)網(wǎng)運(yùn)營(yíng)推廣經(jīng)驗(yàn)的科技公司，有著多年的網(wǎng)站建站經(jīng)驗(yàn)，致力于幫助中小企業(yè)在互聯(lián)網(wǎng)讓打出自已的品牌和口碑，讓企業(yè)在互聯(lián)網(wǎng)上打開(kāi)一個(gè)面向全國(guó)乃至全球的業(yè)務(wù)窗口：建站聯(lián)系電話：028-86922220

“安卓滴血”

漏洞發(fā)現(xiàn)于原生的 Android 的 Stagefight 媒體庫(kù)上，堪稱(chēng)移動(dòng)世界的“心臟滴血”。幾乎所有 Android 設(shè)備都含有此安全問(wèn)題，攻擊者會(huì)向那些沒(méi)有安裝補(bǔ)丁的用戶發(fā)動(dòng)針對(duì)性攻擊，受害者的隱私、數(shù)據(jù)將會(huì)暴露在風(fēng)險(xiǎn)之中。

這些截圖是Nexus5(最新版本)，5.1.1 Android Lollipop

Android 2.2 到 5.1 的所有版本都存在安全風(fēng)險(xiǎn)。(大約11%的設(shè)備)搭載 Android Jelly Bean 4.3 之前版本，風(fēng)險(xiǎn)是最大的。由于漏洞的緩解措施不當(dāng)所致。

補(bǔ)丁已提交

在這個(gè)特殊時(shí)刻，zimperium報(bào)告了該漏洞的詳情，同時(shí)也向谷歌提交補(bǔ)丁?？紤]到問(wèn)題的嚴(yán)重性，谷歌在48小時(shí)內(nèi)就將該補(bǔ)丁應(yīng)用到谷歌內(nèi)部的Android代碼庫(kù)中。然而不幸的是這只是一個(gè)開(kāi)始，之后將會(huì)迎來(lái)一個(gè)漫長(zhǎng)的升級(jí)部署過(guò)程。

zimperiumzlabsVP平臺(tái)的研究與開(kāi)發(fā)者Joshua J. Drake潛入Android代碼最深的角落，發(fā)現(xiàn)這是迄今為止我們認(rèn)為最嚴(yán)重的安卓漏洞。Drake表示會(huì)有6個(gè)影響9.5億Android設(shè)備的漏洞，他將在下周拉斯維加斯的黑帽會(huì)議上進(jìn)行演示。

危險(xiǎn)的彩信

在所有攻擊途徑中，彩信是最危險(xiǎn)的，因?yàn)樗恍枰脩舻娜魏位?dòng)。

攻擊者只需要知道手機(jī)號(hào)，便可以通過(guò)帶有一個(gè)特殊媒體文件的彩信進(jìn)行遠(yuǎn)程代碼執(zhí)行。這是一個(gè)相當(dāng)成功的攻擊武器。例如，用戶在睡覺(jué)時(shí)把手機(jī)靜音，黑客就可以發(fā)送一條惡意彩信。黑客利用該彩信發(fā)動(dòng)攻擊后，還可以將這條彩信刪除，這樣用戶就永遠(yuǎn)也不會(huì)知道自己的手機(jī)被入侵。

“這是一個(gè)令人討厭的攻擊向量(vector)”，Drake說(shuō)。

stagefright不只是用來(lái)播放媒體文件的，還能自動(dòng)產(chǎn)生縮略圖(thumbnail)，或者從視頻或音頻文件中抽取元數(shù)據(jù)，如長(zhǎng)度、高度、寬度、幀頻、頻道和其他類(lèi)似信息。

這意味著無(wú)需用戶執(zhí)行一些惡意多媒體文件，只要復(fù)制這些文件，黑客即可利用stagefright漏洞發(fā)動(dòng)攻擊。

“在一些設(shè)備上,Stagefight有系統(tǒng)級(jí)的訪問(wèn)權(quán)限,很接近root權(quán)限，所以攻擊者可以很容易的獲得root權(quán)限和系統(tǒng)上運(yùn)行的信息，從而監(jiān)控通信設(shè)備或者做一些骯臟的事情?！?/p>

你可能會(huì)說(shuō)，我們有沙箱保護(hù)，沙箱會(huì)將其過(guò)濾掉;但實(shí)際上并沒(méi)有，它還可以訪問(wèn)互聯(lián)網(wǎng)。Android設(shè)備有一個(gè)特殊的服務(wù)，它允許(Stagefight)連接到互聯(lián)網(wǎng)。

Drake推測(cè)，Stagefight高級(jí)的權(quán)限和網(wǎng)絡(luò)訪問(wèn)是為了滿足某些類(lèi)型的數(shù)字版權(quán)管理處理或流媒體播放。他把mpeg4文件的特征元數(shù)據(jù)處理看做咄咄逼人和雜亂的行為，這樣一來(lái)攻擊者可以在后臺(tái)默默地觸發(fā)利用。

Stagefight是一個(gè)糟糕的設(shè)計(jì)和實(shí)現(xiàn)，Drake發(fā)現(xiàn)了大約十幾個(gè)問(wèn)題，其中一半是嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞，其他的不太嚴(yán)重，不存在遠(yuǎn)端控制設(shè)備的影響。

谷歌回應(yīng)

對(duì)此，谷歌在一封電子郵件聲明中對(duì)德雷克的貢獻(xiàn)表示感謝，并證實(shí)這些補(bǔ)丁已經(jīng)提供給合作伙伴。

谷歌還稱(chēng)，

“大部分Android設(shè)備，包括所有新設(shè)備，都擁有多項(xiàng)技術(shù)讓黑客的入侵變得更困難。另外，Android設(shè)備還包含一款‘沙箱’應(yīng)用，用來(lái)保護(hù)用戶數(shù)據(jù)和設(shè)備上的其他應(yīng)用?！?/p>

漏洞修復(fù)

通過(guò)OTA更新，Android補(bǔ)丁到達(dá)終端用戶手中往往需要幾個(gè)月時(shí)間。因?yàn)閺S商首先要把谷歌的代碼置入自己的代碼庫(kù)中，然后為自己的各種型號(hào)設(shè)備建立新的固件版本，測(cè)試后再與移動(dòng)運(yùn)營(yíng)商合作來(lái)發(fā)布更新。而且，如果設(shè)備超過(guò)18個(gè)月就徹底停止接收更新，因此對(duì)于新發(fā)現(xiàn)的安全漏洞毫無(wú)抵抗之力。

如果你是一個(gè)企業(yè)、終端用戶或設(shè)備制造商，請(qǐng)和運(yùn)營(yíng)商聯(lián)系以查明您的設(shè)備是否已經(jīng)以具有更新補(bǔ)丁。如果你擁有Android任何版本，你可能會(huì)受到影響，我們鼓勵(lì)你下載唾手可得的補(bǔ)丁。

網(wǎng)頁(yè)名稱(chēng)：安卓滴血！一條彩信可控制手機(jī)，影響95%設(shè)備
本文鏈接：http://www.dlmjj.cn/article/ccepepi.html