转载

新漏洞影响95%的安卓设备无需钓鱼直接发起攻击

　　网络安全机构 Zimperium 周一表示，研究人员已发现一批能影响全球 95% 的 Android 设备的系统漏洞。通过这些漏洞，黑客将可以在不被发现的情况下远程访问设备数据。目前，已确认从 2.2 到 5.1 版达 Android 系统均存在漏洞。

　　漏洞出自 Android 系统内一个被称为 Stagefright 的多媒体库，该媒体库中包含了多个高危系统漏洞。Zimperium 已计划将在今年 8 月举行的“黑帽安全大会”上对公众展示其具体研究成果。

　　利用这些漏洞发起攻击，黑客实际上只需要获得目标用户的电话号码，并通过短信发送一个媒体文件即可。此过程将赋予黑客远程接入设备的可能，随后在用户入睡后，黑客可进一步对设备上传木马，以窃取更多信息并抹除证据。

　　“这些漏洞极其危险，因为它们并不需要受害者做出任何操作就可以被利用。这与钓鱼等行为不同，后者需要打开 PDF 文件或者某个链接才会导致系统被感染，而前者在你睡觉时就自然而然地被利用和发起攻击。而在你醒来以后，所有的攻击罪证都已经被抹除，你不会知道手机已感染木马，你会像往常一样继续使用着你的电话。”Zimperium 首席技术官 Zuk Avraham 表示。

　　虽然谷歌已经通过 Android 开源项目发布了修复补丁，但 Zimperium 建议 Android 用户应该主动联系运营商和设备生产商以确保尽早获得系统升级。

　　谷歌在周一晚些时候就此事发布了声明，强调公司一向注重网络安全的价值观，并已经向所有合作商提供了针对漏洞的修补方案。此外，谷歌还指出，Android 设备使用了沙盒技术，因此这在保护用户数据方面能起到至关重要的作用。

正文到此结束