目录:
在过去的几个月中,围绕着一系列名为Stagefright的问题充满了不确定性,这个问题因为发现的大部分问题都与Android中的libstagefright有关。 安全公司Zimperium已经发布了他们所谓的Stagefright 2.0,其中包含两个围绕mp3和mp4文件的新问题,这些问题可能被操纵以在您的手机上执行恶意代码。
这是我们目前所知道的,以及如何保证自己的安全。
什么是Stagefright 2.0?
根据Zimperium的说法,一对最近发现的漏洞使得攻击者可以使用看起来像MP3或MP4的文件呈现Android手机或平板电脑,因此当该文件的元数据由操作系统预览时该文件可以执行恶意代码。 如果发生中间人攻击或专门为传递这些格式错误的文件而构建的网站,则可以在用户不知情的情况下执行此代码。
Zimperium声称已确认远程执行,并于8月15日引起了谷歌的注意。作为回应,谷歌将CVE-2015-3876和CVE-2015-6602分配给了这对报告的问题并开始进行修复。
我的手机或平板电脑受影响吗?
不管怎样,是的。 CVE-2015-6602指的是libutils中的一个漏洞,正如Zimperium在其发布此漏洞的帖子中指出的那样,它会影响到Android 1.0的所有Android手机和平板电脑。 CVE-2015-3876影响每个Android 5.0及更高版本的手机或平板电脑,理论上可以通过网站或中间人攻击。
然而。
目前还没有这个漏洞的公开示例被用来利用实验室条件之外的任何东西,而Zimperium并不打算与谷歌分享他们用来向Google展示这个问题的概念验证漏洞。 虽然有可能其他人可以在谷歌发布补丁之前搞清楚这个漏洞利用,但这个漏洞背后的细节仍然保密,这是不太可能的。
谷歌在做什么呢?
根据Google的一份声明,十月安全更新解决了这两个漏洞。 这些补丁将在AOSP中制作,并将从10月5日开始向Nexus用户推出。 老鹰眼的读者可能已经注意到我们最近看到的Nexus 5X和Nexus 6P已经安装了10月5日更新,所以如果您预先订购了其中一款手机,那么您的硬件将会针对这些漏洞进行修补。 有关该补丁的更多信息将于10月5日在Android安全Google小组中发布。
至于非Nexus手机,谷歌于9月10日向合作伙伴提供了十月安全更新,并一直与OEM和运营商合作,尽快提供更新。 如果您查看上一次Stagefright漏洞利用中修补的设备列表,您可以合理地了解在此过程中哪些硬件被视为优先级。
在手机或平板电脑的补丁到来之前,我该如何保持安全?
如果有人真的在使用Stagefright 2.0漏洞利用并试图感染Android用户,由于缺乏公共细节,这种情况再次极不可能,保持安全的关键与关注你所处的位置有关。重新浏览以及您所连接的内容。
尽可能避免使用公共网络,尽可能依赖双因素身份验证,并尽可能远离阴暗的网站。 大多数情况下,常识网络的东西,以保持自己的安全。
这是世界末日吗?
一点儿都没有。 虽然所有Stagefright漏洞确实都很严重,需要对其进行处理,但Zimperium与Google之间的沟通以确保尽快解决这些问题非常棒。 Zimperium正确地引起了对Android问题的关注,谷歌已经介入修复。 在一个完美的世界中,这些漏洞不会存在,但它们会迅速得到解决。 鉴于我们所处的情况,不能要求更多。
