雖說 Android 系統有較多惡意軟件,但只要不亂安裝應用也不破解系統,其實還是很安全。但最近就有保安專家發現 Android 的系統漏洞,黑客只需發送 MMS 短訊即可遙控受害人設備,災情隨時遍及全球九億人。
據知今次保安漏洞沿自 Android 的 Stagefright 功能。美國網絡安全公司 Zimperium Mobile Security 表示,此漏洞讓黑客只需向目標設備,以含有惡意程式的影片發送多媒體短訊(MMS),Stagefright 就會自動預載 MMS 中所附加的影片。
如果受害人的手機開啟了「自動下載 MMS」功能,影片就毋須用家同意就會自動下載,成為黑客直入目標手機的手段。而當用家收到之後,即使未有開啟訊息或相關影片,但由於 Stagefright 有自動下載機制,因此惡意程式便會同時入侵手機。
由於一切全自動,因此受害人在完全不察覺下便會中招。黑客可遙距操控受到感染的 Android 手機,當中包括可控制鏡頭、收音咪及使用各種重要功能,而且更可以竊取機內的資料。
有保安專家指此漏洞的嚴重程度可比去年的 Heartbleed,因資料顯示目前全球大約有 9.5 億部 Android 手機受到此漏洞威脅,一旦有黑客採用即會災情嚴重。Zimperium 已經將有關情況向 Google 上報,希望能在短期內進行修復。
保安專家建議 Android 手機使用者應阻擋所有不明來歷發送者的短訊,用家可在「設定」中找到選項。專家呼籲不要開啟不明來歷的 MMS 短訊,並最好移除 Access Point Name(APN)內所有 MMS 相關設定,以策萬全。
Source: HKCERT