|
||||
许多网友都是用的安卓手机,它可以说是目前全球手机应用中最广泛的移动操作系统之一。可是,最近这个操作系统有点“闹心”。不仅以色列一家网络安全公司发现了安卓系统的致命漏洞,并且还有一些软件存在恶意"吸费"、强行捆绑等问题,亲们赶紧来看一看,不要让你的手机“立于围墙之下”。
一条彩信就可“黑”掉手机
“黑客”只需知道用户手机号码,便可通过发送彩信的方式远程执行恶意代码。具体而言,用户接收彩信后便会通过浏览器下载一个特制媒体文件,黑客就可以发动攻击。最可怕的是,“黑客”可以在用户完全不打开或阅读彩信的情况下入侵手机,甚至赶在用户看到这条彩信前将其删除,神不知鬼不觉地“黑”掉手机,继而远程窃取文件、查收电邮乃至盗取用户名和银行账户密码等信息,而用户对这一切全然不知。
目前,谷歌将补丁程序提供给了部分合作伙伴厂商。但是对于国内的Android手机来说,几乎都无法获得Google的补丁推送,只能等待手机厂商推送更新,这需要耗费很长的时间,用户的手机将受到很大威胁。
微信收到图片、视频同样危险!
Stagefright默认会被mediaserver使用,也就是说,如果恶意的视频文件有机会被mediaserver处理到,该漏洞就有机会触发。基本上采用了Android的media框架来开发的程序都会受到影响。
如果恶意视频被存放在SD卡中,那么打开文件管理app,下拉列表到露出视频,就会触发该漏洞;如果恶意视频在SD卡,或者download目录中,点击本地图片会出现缩略图,这时候也会触发漏洞;微信同样受到影响,通过微信发送恶意视频,点击也会导致media server崩溃,收到恶意视频即使用户不点击,之后在微信中发送图片时,也会触发该漏洞;开机同样是一个触发点,mediaprovider会扫描SD卡里的所有文件,并且尝试去解析。
安卓4.1前的系统风险更高
特别需要注意的是,Android 4.1以前的系统(大约11%)由于缺少漏洞利用缓解措施,容易收到此类漏洞的利用,Android从4.1开始引入漏洞利用缓解措施ASLR(地址空间布局随机化),ASLR极大增加了内存破坏类漏洞利用的难度。
某手机安全中心保守估计Android 4.1以下的系统可以利用这些漏洞来无交互的执行任意代码(攻击方法是向被攻击者发生多媒体短信)。
建议
就目前的补丁内容分析,危险是存在的,但是距离真实攻击还有不少问题要解决,比如绕过ASLR就是很大问题。在发布官方补丁之前,禁用“自动接收彩信”功能可以防止手机自动执行潜入在恶意媒体文件之中的恶意代码。
关闭这个功能并不能完全修复这个漏洞。只要这个漏洞还存在,你的手机就是不安全的,如果你的手机下载了带有恶意代码的媒体文件,那么你的手机就有更危险。目前,国内的大厂商已经收到了谷歌的补丁,预计会很快发布修补,手机用户可以及时更新系统来确保手机安全。
除此之外,近日还被曝出,近80款手机软件恶意"吸费"、强行捆绑!亲们,这可得注意啦!
28日公布的电信服务质量通告显示:二季度,工业和信息化部组织对40余家手机应用商店的应用软件进行技术检测,发现存在问题的应用软件80款,涉及违规收集用户个人信息、恶意“吸费”、软件自动发送短信、强行捆绑推广其他无关应用软件等问题(详见下表)。
2015年二季度检测发现问题的应用软件名单
……
想要阅读全部内容,扫一扫下面的二维码,关注北方网官方微信。