Android 的 Stagefright 漏洞早在 7 月被揭發,即使各大廠商積極地推出安全更新,但問題仍然未解決。在上月釋出攻擊源始碼的 Zimperium 又再發現 Stagefright 的新漏洞。
用 mp3 檔攻擊 Android 裝置
研究人員初次發現 Stagefright 時指出,黑客可透過 MMS 來發動攻擊。這一次的方法有所不同。最新的方法是把惡意程式碼植入至 mp3 或 mp4 檔案。當受害者預覽檔案或者瀏覽嵌入了有問題檔案的網頁時,Android 的音效預覽就會啟動程式並感染手機。此外,攻擊者也可以在公眾 Wi-Fi 網絡展開攻擊,使 Stagefright 可變成蠕蟲。
由於大部分的 Android 版本都有預覽功能,因此幾乎每部 Android 裝置都會受這漏洞影響。但值得關心的是,這同時也反映了各方面在應對 Stagefright 漏洞的策略並不太有效。現在 Zimperium 仍未提供這個漏洞的攻擊源始碼,不過 Google 將會聯同合作夥伴推出更新解決漏洞。
Source : The Verge