谷歌(微博)日前发布了一系列安卓操作系统的补丁,覆盖了之前所提到的众多漏洞,其中就包括名为Quadrooter的影响着9亿手机用户的一个漏洞。
现在大家都在迫不及待的去安装这些补丁,因为这些系统补丁不仅覆盖了之前所提到的一系列漏洞,与此同时,一些之前没有被提过的漏洞也得到了很好的修复,比如之前没有提到过的一个基于图片文件的系统漏洞。
在这个漏洞中,黑客可以隐藏在社交媒体或通信类的应用程序中看似无害的照片中,而受害者甚至根本不需要点开这些图片,只要手机对这些图片数据进行一个解析,黑客攻击者就可以轻而易举的控制这部手机或者是使其变成所谓的“板砖”。
根据发现这些漏洞的研究人员表示,这些漏洞主要是利用一些固定的安卓应用程序中的图片文件数据进行攻击,因为这些应用程序会自动对图片的Exif数据进一个解析,而黑客攻击者就是在这个解析的过程中来攻击我们的手机的。
安全厂商SentinelOne的负责人Tim Strazzere说:“任何一个应用程序都会使用到一部分的安卓代码--- the Java object ExifInterface,而这个代码似乎却并没有想象中的那么安全。”
蒂姆还公开表示说:“只要有一个用户打开了这些受影响的应用程序(例如,Gchat或者Gmail之类的聊天应用程序)中的图片文件,黑客攻击者们立刻就可以获得相关的数据,使得手机系统崩溃或者获得一个‘远程执行代码’,因此,这些黑客攻击者可以轻而易举的将受他们控制的恶意软件安装在用户的手机设备上,在用户毫不知情的情况下控制其手机。”
蒂姆还声称:“现在,问题变得越来越严重,因为作为受害者,甚至根本什么都不需要做,黑客攻击者就可以轻而易举的对其手机设备进行控制。这个漏洞产生至今,并没有很多用户对其进行反馈,因为大多数手机用户甚至根本没有发现这个漏洞。因为手机用户可能只是正常的在一个应用程序中加载了一张图片,黑客攻击者就轻松的接管他们的手机。更可怕的是,这个漏洞的触发非常非常简单,甚至只要手机用户接收一条信息或者一封邮件就可以轻松触发它,因为一旦应用程序试图解析一个图片文件的数据(当然,这个过程通常都是手机自动完成的),那么,很遗憾,这个漏洞就已经被触发了,而且,很可能使手机用户的手机系统崩溃。”
技术研究人员表示:“从理论上讲,人们可以在图像中创建一个通用的漏洞,利用这个漏洞来控制利用大量的手机设备,但是由于我技术水平的限制,我不得不一个设备一个设备的来制作,并根据不同设备的特点来个性化制作。一旦完成了这项工作,类似一些Gchat,、Gmail等应用程序以及一些其他的通信、社交媒体相关的应用程序都会允许这个这个漏洞的存在、触发等。”
技术人员并不愿意透露一些已经受到影响的应用程序的具体名单,但是其表示,除了一些具有“隐私敏感”类工具之外的非谷歌应用程序都会受到影响。
在今天谷歌对其4.4.4操作系统中所有的版本进行补丁更新之前,旧版的安卓设备操作系统在基于图像文件的漏洞问题方面似乎存在着更大的安全隐患。
蒂姆说:“由于漏洞的不断更新与增加,使得我的工作陷入了一个巨大的困难,而这些不断更新与增加的漏洞,使得手机设备更容易崩溃甚至进入无限关机重启的循环中,然而在这个过程中很多手机用户甚至根本不知道手机变‘板砖‘的原因只是因为它接收了一个遭到破坏的图片或者邮件。”
如今,蒂姆已经将他的产品在安卓4.2操作系统以及一些亚马逊设备上进行了在线测评,这些设备依旧会保留一些没有得到修复的漏洞,如果你使用的不是最新版本的手机操作系统,出于安全的考虑,建议你是时候将旧版操作系统更新到最新版本了。
谷歌日前给了蒂姆4千美金,作为其在弥补安卓漏洞方面的贡献。
与此同时,安卓制造商的合作伙伴针对蒂姆在8月5号之前所发现的这些漏洞提出了建议:如果你的手机与这些漏洞相关,请联系你的手机制造商,检查操作系统可以进行更新的具体时间,将手机进行更新,而运行4.4.4以及4.4.4版本以上操作系统的谷歌Nexus手机的用户,将会在今天晚些时候收到一个操作系统更新通知,请自行将手机操作系统进行更新。