多达 9.5 亿部 Android 手机容易受到短信黑客攻击

最新的一系列与 Android 相关的黑客攻击和安全故障使消费者处于迄今为止最容易受到攻击的位置：95% 的 Android 手机容易受到通过标准多媒体文本传递的攻击，并且在大多数情况下，消息会在之前自行删除用户甚至意识到他们已被破坏。

该漏洞最初由 Zimperium zLabs 的安全专家 Joshua Drake 于 2015 年 4 月发现，据信该漏洞影响了被认为在使用的 10 亿部 Android 手机中的多达 9.5 亿部。主要责任是媒体播放工具 Stagefright 中的一个 bug，包含在 2.2 以上的所有 Android 版本中。作为一个远程代码执行漏洞，黑客可以通过发送伪装成彩信 (MMS) 的漏洞来利用未经修补的 Stagefright 版本，从而访问手机中通过 Stagefright 权限可获得的所有数据。

这意味着黑客只需要一个电话号码就可以访问用户的电话并插入恶意代码，然后他们就可以窃取照片、视频，甚至在用户完全不知情的情况下录制音频。更糟糕的是，黑客可以将彩信发送到任何能够接受它的应用程序，并且有些应用程序甚至在用户收到待处理的消息通知之前就自动激活了。其中，Drake 发现 Google Hangouts 是最臭名昭著的，因为它会“在你看手机之前立即触发……甚至在你收到通知之前”，让受害者完全不知道。

一旦获得许可，黑客就不会很难以菊花链方式进行漏洞利用并“提升权限”，因为这样的漏洞利用“在 Android 上相当容易获得，有不少是公开的”。

“我在 Ice Cream Sandwich Galaxy Nexus 上做了很多测试……默认的 MMS 是消息应用程序 Messenger。那个不会自动触发，但如果你查看彩信，它就会触发，你不必尝试播放媒体或任何东西，你只需要看看它，”德雷克补充道。

德雷克声称，尽管谷歌去年春天修补了这个致命漏洞，但制造商在修补他们的产品方面一直非常迟缓，这是造成如此广泛漏洞的原因。

资料来源：福布斯

审核编辑 黄昊宇