安全人员发现安卓大漏洞：影响95%的设备

　　7月27日，以色列移动信息安全公司Zimperium研究人员约舒亚·德雷克(JoshuaDrake)在Android系统中发现了多处安全漏洞，影响当前约95%的Android设备。只需简单的一条彩信，黑客就可能完全控制用户手机。

　　德雷克在Android平台的核心组成部分Stagefright中发现了多处漏洞，Stagefright主要用来处理、播放和记录多媒体文件。其中一些漏洞允许黑客远程执行恶意代码，只需用户接收一条彩信(MMS)，通过浏览器下载一个特定视频文件，或者打开一个嵌入多媒体内容的网页，黑客就可以发动攻击。

　　德雷克还称，在其他许多情况下，黑客也可能对用户发动攻击，因为只要Android平台接收到任何来源的媒体文件，都要通过Stagefright框架来处理。
 
　　Stagefright不只是用来播放媒体文件的，还能自动产生缩略图(thumbnail)，或者从视频或音频文件中抽取元数据，如长度、高度、宽度、帧频、频道和其他类似信息。

　　这意味着无需用户执行一些恶意多媒体文件，只要复制这些文件，黑客即可利用Stagefright漏洞发动攻击。

　　德雷克不确定有多少应用依赖于Stagefright，但他认为，任何一款应用，只要处理Android上的媒体文件，就需要以某种方式来利用Stagefright。

　　在所有攻击途径中，彩信是最危险的，因为它不需要用户的任何互动，只需手机接受一条恶意信息即可。

　　德雷克称，例如，用户在睡觉时把手机静音，黑客就可以发送一条恶意彩信。黑客利用该彩信发动攻击后，还可以将这条彩信删除，这样用户就永远也不会知道自己的手机被入侵。

　　德雷克不仅发现了存在于Stagefright中的这些漏洞，还开发了必要的补丁程序，并于今年4月和5月初提供给了谷歌。德雷克称，谷歌对该问题十分重视，在48小时内就将该补丁应用到谷歌内部的Android代码库中。

　　在通过Android开源项目(AOSP)发布之前，谷歌已经提前将该补丁提供了部分合作伙伴设备厂商。但遗憾的是，德雷克预计，由于Android更新较慢，当前超过95%的Android设备依然受Stagefright漏洞的影响。即使在谷歌自家的Nexus系类设备中，目前也只有Nexus6接收到了部分补丁。

　　通过OTA更新，Android补丁到达终端用户手中往往需要几个月时间。因为厂商首先要把谷歌的代码置入自己的代码库中，然后为自己的各种型号设备建立新的固件版本，测试后再与移动运营商合作来发布更新。而且，如果设备超过18个月就彻底停止接收更新，因此对于新发现的安全漏洞毫无抵抗之力。
 
　　德雷克发现的这些安全漏洞影响Android2.2及以上版本，这意味着有大量设备将永远无法接收到这些补丁。德雷克预计，在当前使用中的Android设备中，最终将只有20%至50%的设备能够接收到补丁程序。德雷克还称，50%是一个理想的目标，如果真的达到 50%，那将是令人吃惊的。

　　对此，谷歌在一封电子邮件声明中对德雷克的贡献表示感谢，并证实这些补丁已经提供给合作伙伴。谷歌还称：“大部分Android设备，包括所有新设备，都拥有多项技术让黑客的入侵变得更困难。另外，Android设备还包含一款‘沙箱’应用，用来保护用户数据和设备上的其他应用。”

　　在这些漏洞被利用后，黑客能在用户设备上执行的操作会有所不同，这主要取决于Stagefright框架的优先级别。整体而言，用户可以访问设备的麦克风、摄像头、外部存储分区，但不会安装应用或访问设备的内部数据。德雷克称，如果Stagefright拥有系统级权限 (根权限)，那么在受影响的设备中，预计有50%会被黑客完全控制。

　　由于这些补丁尚未通过AOSP项目发布，意味着非谷歌合作伙伴尚未得到补丁程序。此外，CyanogenMod等第三方AOSP固件也可能受到影响。据悉，德雷克私下已将这些补丁提供给部分受影响的第三方，如Silent Circle和Mozilla等。

　　Android、Windows和Mac版Mozilla Firefox，以及FirefoxOS均受这些漏洞影响，因为它们都使用了Stagefright框架。据悉，Mozilla今年5月已修复了Firefox 38。

　　德雷克计划在8月5日的黑帽安全大会(Black Hat Security Conference)上提供更多详细信息。