回看板
Disp BBS
看板 MobileComm
作者 flknt (黑騎士)
標題 [新聞]Android出現重大漏洞,一通簡訊就可駭入
時間 Tue Jul 28 18:09:51 2015

Android出現重大漏洞,一通簡訊就可駭入手機,近十億用戶挫咧等

http://www.ithome.com.tw/news/97706  ithome
Android出現重大漏洞,一通簡訊就可駭入手機,近十億用戶挫咧等 | iThome
[圖]
Android 2.2以後的作業系統都可能受駭,特別是Jelly Bean以前的版本(約11%)由於攻擊緩解能力不足而有更高的受害風險。Google接獲Zimperium通報後已製作並發佈修補程式。然而由於Android版本相當分散,且18個月以上的裝置幾乎完全無法得到更新。 ...

 


    資安公司Zimperium發現,幾乎所有版本的Android作業系統存在重大安全漏洞,
要傳一封惡意簡訊就能造成用戶被駭,9.5億部Android智慧型手機皆曝露風險。

    Zimperium旗下的zLabs安全研究副總裁Joshua J. Drake在Android處理多種常見媒體
格式的媒體函式庫「怯場」(Stagefright)時發現一個遠端程式碼執行漏洞。由於該公司
預計在8月初的美國黑帽駭客大會(BlackHat USA)及DEF CON 23公佈這項漏洞的細節,因
此只簡單點出,媒體處理很重視時間元素,因而這個以原生式程式碼(C++)實作的函式

庫比其他以Java寫成的函式庫更容易出現記憶體毁損。

Stagefright中的漏洞可讓駭客經由多種不同方法入侵Android裝置,在最嚴重的攻擊途徑
中,攻擊者只需要知道用戶手機號碼,經由多媒體簡訊(MMS)變造過的多媒體檔案即可
入侵用戶手機,並遠端執行程式碼。精心設計的攻擊甚至能在使用者看到訊息前將之刪除
,用戶只會看到訊息通知。


研究人員指出,魚叉式目標攻擊中,受害者得點選文字簡訊中夾帶的惡意連結或開啟PDF
檔。相較之下,利用這個Android漏洞,駭客不用和用戶有任何互動就可發動攻擊,而且
攻擊者還能消除所有攻擊痕跡,讓用戶難以查覺遭木馬程式感染而持續使用手機。


Stagefright中的漏洞共有CVE-2015-1538、CVE-2015-1539、CVE-2015-3824、
CVE-2015-3826、CVE-2015-3827、CVE-2015-3828、CVE-2015-3829。Zimperium 研究人員
指出,95%的Android裝置都存在這個漏洞,因而認為這是迄今被發現最危險的Android漏
洞。

Android 2.2以後的作業系統都可能受駭,特別是Jelly Bean以前的版本(約11%)由於攻
擊緩解能力不足而有更高的受害風險。安全人員相信,如果PC上的Heartbleed就讓人背脊
發涼,這個漏洞還要更嚴重得多


Google早先接獲Zimperium通報後,已在48小時內製作並發佈修補程式。然而由於Android
版本相當分散,修補將相當困難。Zimperium指出,修補漏洞需要升級韌體,但18個月以
上的裝置幾乎完全無法得到更新


根據Kantar Worldpanel ComTech統計,目前全球智慧型手機作業系統中Android大約佔到
近七成市場。

Zimperium另外指出,Firefox原本也有這項漏洞,不過Firefox 38以後版本已經修補。此
外,SilentCircle的防駭手機Blackphone在其PrivatOS 1.1.7版以後的裝置也可免於風險
。Zimperium呼籲用戶或企業聯絡手機廠商或電信業者了解自己的手機是否已有更新。



心得 : 雖然新聞寫的好像很嚴重,好像有這個漏洞就一定會被駭一樣。但是我覺得安卓
用戶不需要太擔心,畢竟重要的個資都集中在iOS上,駭進我們這種小老百姓的手機又有
什麼意義呢? 更何況Google在48小時內就已經製作並且發佈修補程式了,大部分還在升級
的手機幾個月以內就能修補完畢。而超過18個月的手機用戶,受惠於安卓的市場競爭,換
台手機也相對於iOS來的更沒有負擔,更可以掀起一波換機熱潮。我個人覺得啦,這個事
件對於整個手機市場絕對是利多的。在這邊還是要重申一下,真的不用太恐慌。


--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.82.235.187
※ 文章代碼(AID): #1LjrJnuo (MobileComm)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1438078193.A.E32.html
Lsamia: (本文已被刪除) <OGCOGCOGC>1F 07/28 18:12
Lusmall: 想不到被緊急處理 又出現了XD2F 07/28 18:15
pphyy5844548: 還笑iPhone....!3F 07/28 18:23
dead1305: 只好停收簡訊4F 07/28 18:32
besezta: 老是把電話號碼到處擱的可好看了5F 07/28 18:37
sokayha: 只好拔sim卡了~6F 07/28 18:43
yoshilin: 手機被駭,應該可以告手機廠吧?7F 07/28 18:52
moto000: 小米機表示沒差8F 07/28 18:54
F20: 小米更新很快的9F 07/28 19:00
bitlife: 你知道駭進小人物的手機,會看到更多內幕嗎?10F 07/28 19:01
chen7726: 怎麼發一則空白文?11F 07/28 19:07
eric112: 小米更危險吧!
中國這種人治的地方發生什麼事都有可能
手機裡放幾隻木馬也是剛好而已12F 07/28 19:26
ueilan: 你已經死了(指15F 07/28 19:45
randy061: 也要開起來外加點選才會中毒啊16F 07/28 19:50
eric112: 樓上為什麼說樓主死?17F 07/28 19:51
bitlife: 樓上沒看內文哦,這次的漏洞使用者不用點就中獎18F 07/28 19:52
DendiQ: Don't fight, switch.19F 07/28 19:56
RG470AHZ: 還好用iPhone20F 07/28 20:07
alcard22: SONY的Z系列應該都有更新到21F 07/28 20:17
RG470AHZ: 安卓粉這下子雞嘴變鴨嘴了XDD
這種修漏洞的速度真想不透重視資安的商務人士有誰敢用?22F 07/28 20:23
KingChaly: 通通壞了,5.0收!25F 07/28 20:45
hudson109: 最後一段  哈哈26F 07/28 20:50
seeseahole: 先想想…這次要攻擊還得先花簡訊費,有誰會「大量」「攻擊」一般人的手機?27F 07/28 20:52
miamodo: disable automatic downloading of MMS attachments29F 07/28 21:00
doom3: MMS可以跟電信商要求停用嗎? 反正沒用過30F 07/28 21:07
sokayha: 去apn設定把mms那個刪掉就行了31F 07/28 21:11
miamodo: 停用MMS內的自動擷取.32F 07/28 21:15
uhawae:  18個月以上手機就不管也太屌?33F 07/28 21:16
sokayha: 這種重大問題良心廠商應該會丟追加OTA,例如罪大滔天的索尼之前Heartbleed bug就有特地出修正版本34F 07/28 21:20
JoshSmith: 幹本板它它是有什麼東西好駭的啊?裸照有誰要看?36F 07/28 21:22
sokayha: 它它被偷看完了後可能很多人會被FBI請去泡茶XD37F 07/28 21:25
pddck: 推樓上XDD38F 07/28 21:50
aljinn: 從智慧型手機風行以來 這種新聞已經多少了?
可是到底哪一次真的廣大的普通消費者受到影響?39F 07/28 22:09
jademesses: 如果是iOS就不可能出錯 我果無敵41F 07/28 22:12
eric112: 要倒了要倒了!安卓要倒了42F 07/28 22:36
jasn4560: ios哪不會出錯?收簡訊自動關機跟icloud照片??43F 07/28 22:48
IUfo: 會酸會酸XDDD44F 07/28 22:49
xelnaga: Android系統不意外45F 07/28 23:12
suifong: 可以透過更新安全性原則更新吧?46F 07/29 01:02
caramel623: 把收MMS的關掉就好了吧 又幾乎沒用到過…47F 07/29 01:31
pttsma: 學ios48F 07/29 02:24
richjf: mms在台灣根本是個廢渣.49F 07/29 02:45
nkhs9412235: 請問你上次收到 MMS 簡訊是何時?我個人從 Android 1.6 用到現在「從未」收過 MMS 簡訊,現在就連純文字簡訊都只有刷卡通知、廣告簡訊、二階段驗證,根本很少收到了,有 Line 、Facebook 不用,用 MMS @@?
也許國外還很流行吧?50F 07/29 02:47
Jacktang: 18個月 XDDDDDDDD 偉哉安卓55F 07/29 10:11
erik777: iOS之前也出過幾次大包 但是硬體單純幾乎都能修正56F 07/29 16:21

--
作者 flknt 的最新發文: