Android被黑或只要10秒

去年夏天令所有Google用户害怕的词又回来了，甚至变得更差。Stagefright的新版本（其创始人将其取...





去年夏天令所有Google用户害怕的词又回来了，甚至变得更差。Stagefright的新版本（其创始人将其取名为Metaphor）甚至更加危险。

Stagefright（怯场）就像其字面含义一样，深深地隐藏于Android库中，在Android用户观看可爱小狗和蓄意的DIY攻击视频时并不会有任何表象，从而使用户一直暴露于漏洞之下。

多少设备会受到影响？

现在第二波漏洞中，这些Stagefright漏洞通过多媒体库的漏洞已经影响了成千上万的Android设备。更具体一点，它们甚至已经影响使用5.0-5.1版本Android（占受影响的23.5%）用户和部分使用2.2、4.0（这些老版本终端还因暴露于之前的病毒而不安全）版本的Android用户。

Google的回击

在上述漏洞发现之后，Google进行了一系列漏洞的修复并采取了其他安全措施，甚至建立它自己的漏洞小组以对抗攻击。它还提供升级、打补丁，使得在真实的攻击中利用Stagefright渗入Android系统变得更加困难。

很不幸，Metaphor能够避开这些增加至较新Android版本的保护机制。通过该新漏洞，正如它们自己的创建者所演示的，Stagefright可以轻易地控制多种而较新的设备，例如Nexus 5、Samsung Galaxy S5、LG G3或HTCOne。

那么，精确地说，Stagefright是如何闯入的？

偷偷摸摸地。确切地说，用户在攻击中无需使用智能手机。在Stagefright的情形中，攻击者可以通过特殊的网站（例如，通过邮件或MMS彩信收到的恶意视频链接）获取权限。在一次概念验证中，带有恶意视频链接的邮件推送了关于小猫的视频，引导至实际上包含恶意视频的网页。接收人怎么也想不到，在看视频的时候，Android系统正在受到攻击。仅需10至15秒，网络犯罪分子就能控制受害者的终端。

确切而言，Metaphor的策略并不是新的。它很大部分依赖于去年夏天漏洞首次发现时出现的攻击。然而，今天的漏洞在于Stagefright有能力绕过ASLR，该工具是Google在4.1之后的所有版本的Android中设置的障碍。问题在于，新的威胁不仅涉及到较老版本的设备，而且还牵连较新版本系统的设备。甚至使用AndroidLollipop 5.1的用户也不安全，这大概占了所有Android智能手机数量的19%。

无论如何，保护你的Android设备、避免其他与Stagefright相关的风险的最好办法是，保持操作系统尽可能为最新，并安装反病毒软件。如果你手机已经不再提供更新，那请留意一些：除非完全可信任，请不要浏览网页，对那些声称是可爱而毛茸茸的小猫也应如此。

    关注 手机安全