Stagefright 攻擊程式碼釋出 助研究人員檢查 Android 漏洞

早前 Unwire.pro 報導了有關 Android 手機的 Stagefright 漏洞,影響全球九億部手機。最近,披露這個漏洞的 Zimperium 公開了攻擊程式的原始碼供人參考。

早前 Unwire.pro 報導了有關 Android 手機的 Stagefright 漏洞,影響全球九億部手機。最近,披露這個漏洞的 Zimperium 公開了攻擊程式的原始碼供人參考。

 

透過 Stagefright 漏洞,黑客可以以多媒體短訊(MMS)來發送含有惡意程式的影片到受害者手機。如果手機開啟了自動下載 MMS 功能,影片就會自動下載,即使沒有開啟訊息或影片,惡意程式都可成功入侵。由於 Android 2.2.x (Froyo)到 5.1.x(Lollipop)版本都受影響,因此牽連甚廣,嚴重程度可比 Heartbleed。

這次由 Zimperium 釋出的程式碼是針對 Stagefright CVE-2015-1538 。但這程式並非對所有機種都有效。 Zimperium 指他們只在運行 Android 4.0.4 的 Nexus 裝置測試,而且也不保證完全可靠;他們又指釋出程式碼的目的,是為了讓專業人員測試系統有沒有漏洞。

自從 Stagefright 漏洞曝光後,一些手機制造商開始重視系統安全,例如 Google 會為 Nexus 手機每月推出更新。Zimperium 也樂見這個見象。他們指, Stagefright 的研究帶來最正面的事,就是使製造商和服務供應商意識到他們需要更頻繁地推出更新。

該攻擊程式以 Python 編寫,有興趣的讀者可以到 Zimperuim 研究。

Source : Zimperium