8.5亿安卓设备仍受Stagefright漏洞影响 已被发现一年

  数亿设备受Stagefright漏洞影响

北京时间3月25日消息,据科技网站ZDNet报道,声名狼藉的Stagefright漏洞已经被发现近一年了,但超过8.5亿安卓设备仍在遭受它的潜在威胁,不计其数的智能手机和平板电脑仍处于被劫持的风险之中。

Stagefight漏洞由网络安全团队Zimperium的研究员乔舒亚·德雷克(Joshua Drake)在去年发现,它被称为“迄今发现最严重的安卓漏洞之一”。

Stagefight漏洞能够攻击任何运行Android 2.2或以上系统的设备,允许攻击者在用户毫无察觉的情况下劫持设备。它仅通过利用安卓系统内置的媒体库就能做到这一点,媒体库能够被引发运行恶意代码,令黑客进入用户所有的文件。

实际上,自漏洞曝光后,谷歌一直持续不断发布补丁、升级以及其他修复措施。但Zimperium称,数亿安卓智能手机和平板电脑仍曝光在这一漏洞之下,总数约有6亿到8.57亿部。该数据是基于一份研究报告而来,报告称,尽管谷歌不断发布更新,但43%的安卓设备仍可能遭受代号为“CVE-2015-3864”漏洞的攻击。

研究人员透露,部分原因起源于,安卓厂商们推送Stagefright安全补丁的方式存在问题。实际上,这些安全更新将会把用户曝光在其他一些列漏洞之下。索尼,摩托罗拉,三星,华硕,LG和华为全部在无意中中招,非但未减少用户被攻击的概率,还令其增加了。

Zimperium还曝光了新的Stagefight漏洞,例如本月早些时候发现的Metaphor,目前仅有少数设备已针对其打过补丁,因为每次更新只有少数设备能接收到。

谷歌希望即将发布的Android N操作系统能够修复这一漏洞,但Zimperium研究员表示,整个安卓生态系统全部运行Android N将需要好几年时间。

一些更新并不适用于老款设备也是个问题,这些设备未运行较新的安卓系统,将无法接收到补丁。

此外就是老生常谈的安卓系统碎片化问题。虽然谷歌每月发布补丁确保能够防护Stagefright漏洞,但厂商们在同意和执行更新方面行动缓慢。

Zimperium还建议运营商和即时消息应用公司做好准备,封锁带有链接的短消息,如果有“蠕虫”开始扩散的话。

本文转自d1net(转载)

时间: 2024-11-03 04:49:34

8.5亿安卓设备仍受Stagefright漏洞影响 已被发现一年的相关文章

为什么StageFright不能干掉数亿安卓设备 因为安卓无法及时更新

用一个漏洞利用工具拿下10亿设备这种事,绝不可能发生在安卓世界. 移动支付机构Square安全主管,著名安全研究员迪诺·戴·佐维(Dino Dai Zovi)在亚洲黑帽大会上表示,安卓的多样性及其漏洞满布的生态系统,不仅不是弱点,反而是其强项.因为,正是其多样性,导致黑客罪犯们更难以下手.     迪诺·戴·佐维 由于要在各种各样的手机和平板上安装使用,安卓的变种简直数不胜数. 所有调查的设备中,大约1/3跑的是2013年发布的安卓4.4(KitKat),还有1/3则是2014年发布的安卓5(L

比雅虎泄露更严重!超85万台思科设备仍受“零日漏洞”影响

    在雅虎遭遇史上最大规模的单一网站泄露事件后,黑客余弦曾评论: 比起雅虎被泄露5亿账号信息来说,更值得关注的是 Cisco 相关设备在处理 IKEv1 数据包存在严重缺陷导致攻击者可以直接远程获取内存里的隐私信息(这个过程类似两年多前席卷全球的"心脏出血"). 这个线索之前就在 NSA 方程式组织被泄露的利用代码里躺着,代号为"BENIGNCERTAIN"(Cisco 认为这次漏洞类似"BENIGNCERTAIN"),看来大家的警觉性还是比

易受Heartbleed漏洞影响的Android应用下载量已降至1.5亿

易受 Heartbleed漏洞影响的Android应用下载量已降至1.5亿升级系统以抵抗 Heartbleed是一回事, 但是修复所有受该漏洞影响的Android应用,又是另外一回事了.据外媒Re/code报道,研究公司 FireEye已经发布了一份报告,指出易受Heartbleed影响的Android应用下载量,已经达到了约1.5亿次.更糟糕的是,研究人员称:当前,Google Play商店上的各色"Heartbleed探测器",根本无助于你消除因应用下载所带来的影响.研究人员写到:

应用Truecaller存在远程利用漏洞,影响一亿安卓设备

Truecaller是一家瑞典公司,主要通过收集号码簿以及利用众包(用户提供个人通信录)的方式来收集和归类各种号码,然后提供陌生来电识别标注.营销电话拦截以及联系人管理.黄页查询等功能,同时还与 Yelp.Twitter 等社交工具进行连接,号称要成为 "黄页中的 Google".拥有 1.5 亿用户,其中 8000 万来自新兴大国印度. 安卓用户请尽快去更新 近日,猎豹移动安全研究实验室的安全研究人员发现呼叫管理应用程序Truecaller存在严重漏洞. 该漏洞允许任何人窃取True

Linux内核存缺陷 66%安卓设备面临受攻击风险

北京时间1月20日消息,据科技网站Ars Technica报道,过去约3年,数以千万计运行Linux内核的设备一直存在一处权限提升缺陷.预计主要Linux发行商将于本周修复该缺陷,但由于为Android手机和嵌入式设备发布更新包相当困难,许多人未来数月或数年仍将面临受到攻击的风险. 这一缺陷出现在2013年初发布的3.8版Linux内核中.安全厂商Perception Point研究人员发现了该缺陷,并报告给Linux内核维护团队. 在服务器上,具有本地访问权限的黑客可以利用该缺陷获得最高权限:

Linux 内核存缺陷:66% 安卓设备面临受攻击风险

据科技网站Ars Technica报道,过去约3年,数以千万计运行Linux内核的设备一直存在一处权限提升缺陷.预计主要Linux发行商将于本周修复该缺陷,但由于为Android手机和嵌入式设备发布更新包相当困难,许多人未来数月或数年仍将面临受到攻击的风险.这一缺陷出现在2013年初发布的3.8版Linux内核中.安全厂商Perception Point研究人员发现了该缺陷,并报告给Linux内核维护团队. 在服务器上,具有本地访问权限的黑客可以利用该缺陷获得最高权限:在运行KitKat及更高版

高通安全执行环境高危漏洞影响全球六成安卓设备

本文讲的是高通安全执行环境高危漏洞影响全球六成安卓设备,高通安全执行环境 (Qualcomm Secure Execution Environment, QSEE) 中的一个关键提权漏洞 (Elevation of Privilege, EOP) 仍影响全世界大约六成的安卓设备.而该漏洞早些时候曾得到过一次修复. 问题的根源在于 Widevine QSEE TrustZone 应用中的一个关键提权漏洞CVE-2015-6639,而该漏洞在今年一月已经被谷歌发布的包含12个安卓漏洞补丁的补丁包修复

骁龙芯片存严重安全漏洞 超十亿安卓手机面临威胁

本文讲的是 骁龙芯片存严重安全漏洞 超十亿安卓手机面临威胁,超过十亿安卓设备搭载的骁龙芯片存在严重漏洞,黑客可通过任意恶意软件获取设备 Root 权限. 趋势科技公司的安全研究人员对安卓用户发出警告称,高通骁龙芯片中内核级编程的一些部分存在严重漏洞,攻击者可以利用其获得 Root 权限,进而完全控制设备. 获取设备 Root 权限是个值得关注的问题,攻击者可以获得管理员级的权限,使用你的设备对付你:操控摄像头拍照.窥探账户密码.电子邮件.短信.照片等个人信息. 高通官方网站上的信息显示,骁龙芯片

两个漏洞可让十亿安卓手机被获取 Root 权限?

趋势科技报道,数十亿的安卓设备上发现安全漏洞,攻击者可通过简单的操作获取root访问权限. 目前市场上大部分的智能设备都在使用Qualcomm Snapdragon SoCs(系统芯片),据该公司官网上统计,有超过10亿的设备使用Snapdragon芯片.然而不幸的是,安全研究员们发现数个安全漏洞会影响Snapdragon芯片,可被攻击者获取访问设备的root权限. 趋势科技在发现这些漏洞之后就提交给了Google,并且Google也已经修复了.但是由于影响范围比较广泛,移动领域和物联网领域均有