安卓系統存在重大漏洞，95%的安卓裝置會受到威脅

近日，一家安全研究公司聲稱，安卓系統上存在一處漏洞，足以對幾乎所有此類裝置產生威脅。依據安全公司F-Secure的說法，今年第一季度，99%的移動端惡意軟體都出現在安卓裝置上。

近日，一家安全研究公司聲稱，安卓系統上存在一處漏洞，足以對幾乎所有此類裝置產生威脅。

據Zimperium表示，該漏洞存在於安卓內建的稱之為“Stagefright”的媒體播放工具中。只需向安卓裝置傳送一條簡單的文字訊息，黑客就可以取得該裝置的全部許可權，進而竊取各類資料，包括信用卡或個人資訊。

Zimperium向國家公共電臺表示，目前為止，該漏洞尚未被人利用。但該公司在網站的一篇博文中表示，95%的安卓裝置會受到威脅。

Zimperium表示，他們在今年4月便發現了該處漏洞，並及時通知了谷歌。一位谷歌發言人表示，裝置製造商已經收到了補丁檔案，但她沒有透露更多細節。

而依據國家公共電臺的說法，惡意軟體可以藏身於發往使用者手機的簡短視訊中。一旦惡意文字被裝置接收，就會觸發Stagefright的某個內建功能，減少播放視訊所需的處理時間，而黑客就在這一過程中取得裝置的控制權。

具體的步驟取決於使用者安裝的即時訊息平臺。對於使用安卓提供的標準Messenger應用的使用者來說，他們只需開啟文字訊息即會中招，就算不觀看視訊也是一樣。而依據Zimperium的說法，那些使用谷歌Hangouts的使用者更是連文字也無需看到。一旦應用收到文字訊息，就會自動對視訊進行處理，然後就中招了。

谷歌面對這種問題所能採取的措施有限，因為安卓系統的更新需要依賴三星、LG以及華為這類裝置製造商進行推送才能完成。這些裝置製造商通常都對安卓系統進行自己的修改，而谷歌只能向他們傳送更新和補丁檔案，無法直接面對終端使用者傳送。

面對日益增長的惡意軟體威脅，谷歌於今年6月宣佈啟動一項獎勵計劃，旨在向那些發現、報告甚至修正了漏洞的開發或研究人員進行現金獎勵。多年來，谷歌在其他方面開展的類似計劃獲得了顯著成效。2013年，一位名為“Pinkie Pie”的安全領域專家就因為發現Chrome瀏覽器上一處嚴重漏洞而獲得了公司給予的50000美元獎勵。去年，谷歌就針對那些發現Chrome瀏覽器以及其他谷歌產品漏洞的安全研究人員發放了總計150萬美元的獎勵。而自2010年以來，公司已經為此支付了超過400萬美元。

Zimperium表示，由於裝置製造商遲緩的動作，目前大約只有20%至50%的裝置接收到了補丁。

雖然Zimperium表示，由於Stagefright漏洞的存在，安卓裝置面臨極大的風險。但谷歌方面卻表示，2014年，安卓裝置上安裝惡意軟體的數量大幅下滑50%。而到了2014年年底，谷歌更表示只有不到1%的安卓裝置上安裝了“具有潛在危害性”的應用。

依照Zimperium在部落格上的說法，今年8月1日，在拉斯維加斯舉辦的黑帽安全大會上，他們會就Stagefright漏洞的細節進行演示與公開。