Android 的新漏洞，可能會影響 10 億用戶

Android 系統又被發現了新漏洞，可能你只是打開了一個 MP3 文件，就被暴露於危險之中。這次是兩個可能影響 10 億用戶的安全漏洞，幾乎每台 Android 手機的用戶都可能被感染。

以色列移動安全公司 Zimperium 的安全專家 Joshua J Drake 發布了新的報告，他在Android 系統中發現了兩個漏洞，可能會被駭客利用，欺騙用戶訪問含有惡意 MP3 或 MP4 的網站。當用戶打開被感染的多媒體文件，這台 Android 設備可能就會被執行任何制定的代碼（arbitrary code execution），也就是被駭客所控制。

這兩個漏洞都包含在 Android 系統用於播放媒體文件的引擎 Stagefright 中。

報告顯示，第一個代號為“CVE-2015-6602”的漏洞影響範圍極廣，包括從 2008 年發布的 Android 1.0 系統以來所有的 Android 設備，在打開第三方應用或者運營商預裝應用的時候都可能觸發。第二個漏洞則會影響到搭載 Android 5.0 以上版本的設備。

如果駭客本人和受感染的設備處於同一個網絡之中，比如共享了同一個咖啡館的 Wi-Fi，設備被遠程控制的風險就更高。駭客可以將攻擊代碼植入“受害者”未經加密的網絡訪問中，這樣，即使用戶沒有訪問惡意網站或者預覽多媒體文件，也可以被攻擊。

Zimperium 的安全專家認為至少 9.5 億 Android 用戶可能處於安全風險之中，而這家安全公司的 CTO Zuk Avraham 則表示，可能被影響到的用戶多達 14 億。在接受採訪時他說：“我不能說所有的 Android 手機都是脆弱的，但是絕大多數都是這樣。”

今年七月，同樣是這家安全公司已經報告過一個 Stagefright 漏洞，駭客只需要通過一條信息，就能藉由這個漏洞控制用戶的手機，影響範圍主要是  Android 2.2 以及之後的版本，大約為 1 億台設備。

早些時候，面對用戶手機系統升級緩慢，Google 採取了停止全面支持 Android 4.4 的做法來促使手機用戶更新換代，而在七月的漏洞曝光之後，Google 宣布在一款 Nexus 設備推出的 3 年內或者在 Google Store 購買的設備能在 1 年半內持續得到安全更新。這些安全更新都將開源給其他的 Android 手機廠商。

一位 Google 的發言人表示，針對新漏洞的安全補救將於 10 月 5 日推送給 Nexus 手機的用戶，摩托羅拉的發言人則表示公司將處理這些漏洞，而三星、HTC、索尼、華為等公司還沒有對此事做出回應。

看起來，如果要繼續用 Android 系統的話，最快獲得安全更新的方式是使用Google 的“親兒子” Nexus 系列設備。而蘋果的 iOS 系統可能也沒有那麽安全，前不久剛剛曝出的 XcodeGhost 惡意代碼漏洞，可能感染了超過 1000 個應用。

資料來源：SOURCE