早前 Unwire.pro 報導了有關 Android 手機的 Stagefright 漏洞,影響全球九億部手機。最近,披露這個漏洞的 Zimperium 公開了攻擊程式的原始碼供人參考。
透過 Stagefright 漏洞,黑客可以以多媒體短訊(MMS)來發送含有惡意程式的影片到受害者手機。如果手機開啟了自動下載 MMS 功能,影片就會自動下載,即使沒有開啟訊息或影片,惡意程式都可成功入侵。由於 Android 2.2.x (Froyo)到 5.1.x(Lollipop)版本都受影響,因此牽連甚廣,嚴重程度可比 Heartbleed。
這次由 Zimperium 釋出的程式碼是針對 Stagefright CVE-2015-1538 。但這程式並非對所有機種都有效。 Zimperium 指他們只在運行 Android 4.0.4 的 Nexus 裝置測試,而且也不保證完全可靠;他們又指釋出程式碼的目的,是為了讓專業人員測試系統有沒有漏洞。
自從 Stagefright 漏洞曝光後,一些手機制造商開始重視系統安全,例如 Google 會為 Nexus 手機每月推出更新。Zimperium 也樂見這個見象。他們指, Stagefright 的研究帶來最正面的事,就是使製造商和服務供應商意識到他們需要更頻繁地推出更新。
該攻擊程式以 Python 編寫,有興趣的讀者可以到 Zimperuim 研究。
Source : Zimperium