今日,有研究者发现针对一个老漏洞的新攻击方式。尽管Google在以前对这个漏洞进行了修补,但是现在数以百万的安卓设备又处在了危险之中。
NorthBit基于Herzliya和Israel发布了关于Metaphor的描述。Metaphor是安卓多媒体库Stagefright的漏洞昵称。这种攻击针对安卓2.2到4.0以及5.0和5.1的版本。公司称,漏洞攻击完美作用于Google的Nexus5,HTC One的某些型号,LG的G3以及三星的S5.
攻击最先起源于CVE-2015-3864,一个远程执行代码的漏洞,Google已经对其发布了两次补丁。最早的Stagefright漏洞由安全公司Zimperium发现,影响到百万的安卓设备。此后,Google持续针对相关漏洞发布补丁。Zimperium的联合创始人兼CTO Zuk Avraham称,公司拒绝发布其发现的一种基于Stagefright的另一种攻击方式,否则将会致几百万的安卓设备于危险中。但是他说,NorthBit的文章提供了有关攻击的详细资料,足够黑客掌握攻击技巧。
NorthBit发布了攻击成功的视频介绍,其中需要一些社工工作。受攻击者需要打开收到的钓鱼链接,并且在受到攻击的过程中停留在页面上。攻击过程持续几秒钟到两分钟不等。
在这个视频中,受攻击者打开一个关于猫咪照片的钓鱼链接,此间NorthBit开始进行攻击。
在5.0和5.1版本中,攻击者需要绕过ASLR(Address space layout randomization,位址空间配置随机载入),攻击难度稍微高一些。NorthBit估计,大约有235,000,000的安卓设备运行5.0和5.1版本,大约40,000,000设备运行2.X到4.X版本,没有ASRL防护。“看着这么大的数量,不知道有多少是潜在的受害者。”NorthBit写道。
鉴于Stagefright暴露的漏洞,Google称将会在八月份集中修复这个漏洞,保证安卓的安全性。Chris Eng称,Google其实更想快点修复漏洞,但是现在Stagefright补丁的版本非常不稳定。Chris Eng说:“给安卓设备打补丁是一项艰巨的工作,因为版本众多,很难做出完美稳定的补丁。”
原文:Stagefright exploit puts millions of Android devices at risk(译者/赖信涛 责编/孙思)
扫一扫
5553
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
