屏保壁纸引发血案，三星手机瞬间变砖

三星又出 Bug？...







作者 | 马超

责编 | 伍杏玲

头图 | CSDN下载自东方IC

出品 | CSDN（ID:CSDNnews）

因为一张壁纸引发手机变砖的情况再次出现。近日，据俄罗斯卫星通讯社报道，网名为“Ice Universe”的用户发布了一张可能会导致三星手机崩溃的图片，他表示“无论如何不要将这张图片设置成壁纸，尤其是在三星手机上。”

在其他用户评论中发现，有用户将这张图设置成壁纸后，手机开始出现重启、闪烁、关机情况。一些手机用户称，他们丢失了所有资料。

不过，这一次三星官方并没有像之前的电池门一样，进行事件回复，因为很快其它手机也发现了类似的问题。经过排查，最终定位到该Bug是由安卓系统本身自带的图像库引起的，几乎全部安卓手机都会中招。而这已经不是手机终端的图像库第一次爆出安全漏洞了。

在一个月之前谷歌旗下的Project Zero信息安全团队公布其在苹果公司的Image I/O 中发现的一些Bug。Image I/O库是被iOS、MacOS、WatchOS 和 TVOS所共有的多媒体库，因此谷歌曝光的这一缺陷，几乎影响苹果的每一个主要平台。苹果的Image I/O库与安卓的图像库在各自体系内的地位类似。

据了解，此次三星宕机事件的主要原因在于这张壁纸采用了RGB色域标准，安卓10系统会优先选择色域更小的sRGB，因此在调入壁纸时默认需要进行色域转换，此图在色域转换中所需要的时间较长，如果手机无法及时完成图片的色域转换，最终就导致系统陷入崩溃状态中，由于调入壁纸的机制又无法跳过，导致手机必须恢复出厂设置才能恢复正常。

因此这次的安卓手机宕机问题是图像库引发的血案，图像库除了会引发崩溃，还经常是恶意攻击的发起突破口，客户通过制作畸形的媒体文件，可以利用图像解析程序存在的漏洞，在目标主机上执行恶意代码。

目前在各类主流的操作系统当中，都会有文件的自动分类功能，用户可以在文件浏览器中对于如声音、视频、图片进行分类浏览。任意一个新多媒体文件，都会自动地被操作系统解析。这个解析操作不需要与用户进行交互，甚至是无法被取消的，这是这次事件中很多手机变砖的最大原因。

多媒体解析类库的代码可跨平台通用，也就是图片预解析的行为在各个操作系统相同。正是由于以上原因，使得图像类库经常成为各系统的弱点，我们所要做的就是找到一种方法，将格式错误的多媒体文件发送到设备，等待文件处理，直到漏洞代码触发。在当今互联的世界中，交换图像和视频是最常见的用户交互之一。因此，如果发现重大漏洞，并将其隐藏在图像文件中，是非常隐蔽而且高效的攻击方法。

本次漏洞的主角安卓图像处理库，是谷歌用于其移动设备中的图像解析处理类库。由于其在应用生态系统中的核心角色，安卓图像类库像是一个危险的攻击表面，它本质上为任何攻击者提供入侵媒介，所以如何强调其安全性也不为过。

也有不少安全团队警告，类似这种由于缺乏超时处理机制的问题，还很可能会引发其它问题，因此色域选择的超时降级，是重要的规避解决方案。

笔者认为，目前对于用户来说最简单的规避方法，就是不要更换任何壁纸图像，这都有可能造成系统的异常崩溃。

笔者看到在此事件发生之后，不少网友都在开各种脑洞，一旦全世界手机全部出现蓝屏，那么我们在银行的钱会不会不翼而飞？

对于这样的问题，笔者作为一名金融科技阵线工作多年的老兵，可以肯定的说，单纯的终端问题并不会造成金融资金安全问题，一般来说金融类App的安全都是有保证的，其安全等级是独立于手机OS的。

比如我们在手机内输入密码等敏感信息时，一般都是基于App自身的输入法来进行的，输入元素是乱序的，App一旦发现密码重试次数过多等问题，都会触发安全保护机制，相关安全方案还是能够保证万无一失的。

各大科技巨头为应对日益增长的安全威胁成立了相关安全团队以处理相关威胁，比如谷歌就推出了Project Zero计划，其团队成员包括曾在2013年发现存在于AdobeFlash及微软Office中大量漏洞的新西兰人本·霍克斯（Ben Hawkes）、英国知名“零日漏洞查杀”专家塔维斯·奥曼迪（Tavis Ormandy）、成功破解谷歌Chrome操作系统的乔治·霍兹以及曾经发现了苹果iOS、OSX和Safari浏览器多个漏洞的神秘瑞士黑客布雷特·伊恩·贝尔（Brit Ian Beer）等等。

除了图片库外，随着开源理念的不断深入人心，软件包之间的互相依赖性也较以往大幅增加了，比如之前一个JavaScript Promise类库的两行代码就引发了数百万个项目的崩溃，而脸书SDK的问题，也使很多苹果App闪退。

而本次事件中的终端图像类库可能还隐藏着巨大的风险，因此还需要业界高度重视安全方面的新动向，以避免此类悲剧再次发生。

参考：

http://sputniknews.cn/society/202006021031554664/更多精彩推荐

☞AI 终极问题：我们的大脑是一台超级计算机吗？

☞前方高能！IT 程序员、软件工程师值得考的证书原来有这么多！| 原力计划

☞又跌了，扎心！6 月全国程序员工资平均 14404 元 | 原力计划

☞懂语言者得天下：NLP凭什么被称为人工智能的掌上明珠？

☞整理了一份 Docker系统知识，从安装到熟练操作看这篇就够了 | 原力计划

☞首席架构师揭秘“国家队”牵头的BSN究竟是什么？

点击阅读原文，精彩继续。

    关注 CSDN