在今年7月底揭露怯場(Stagefright)漏洞的資安業者Zimperium釋出了Stagefright的攻擊程式以供外界測試。

Stagefright其實是Android平台的媒體函式庫,可處理各種不同的媒體格式,Zimperium的平台研究副總裁Joshua Drake在今年7月底發現Stagefright中潛藏許多安全漏洞,相關的通用漏洞公告(Common Vulnerabilities and Exposures,CVE)編號涵蓋CVE-2015-1538、CVE-2015-1539、CVE-2015-3824、CVE-2015-3826、CVE-2015-3827、CVE-2015-3828、CVE-2015-3829與CVE-2015-3864,通稱為Stagefright漏洞,影響自Android 2.2(Froyo)到Android 5.1(Lollipop)的Android版本,估計有95%的Android手機,相當於近十億台裝置受到波及。

駭客要攻擊Stagefright漏洞只需要向使用者的行動電話號碼發送內含特殊媒體檔案的多媒體簡訊,就能遠端執行任意程式,完全不需要使用者的互動,駭客還能在使用者未讀取簡訊前便刪除該簡訊,讓使用者在毫不知情的情況下使用一支木馬手機。

在揭露Stagefright漏洞之後,Zimperium原本在今年8月初就要公布攻擊程式,但在與電信營運商及裝置製造商討論之後決定延後釋出。

此次公布的即是Drake針對CVE-2015-1538所開發的攻擊程式,此一攻擊程式可在不需使用者的互動下執行遠端程式攻擊,也是Stagefright漏洞中最危險的其中一個。

Zimperium說明,這並不是一個通用的攻擊程式,它僅能成功攻陷Android 4.0.4的Nexus手機,而且也不是百之百的可靠,主要是為了供安全團隊、企業管理人員或安全測試人員來測試系統的安全性。

事實上由於Stagefright漏洞的嚴重性,不但讓Google在八月初展開有史以來最大規模的一次安全更新,也開始讓手機業者轉向過去PC平台上成為慣例的定期更新模式。如Google、三星與LG都已經宣布,旗下的手機品牌改為每個月定期釋出安全更新。

Zimperium指出,踢爆Stagefright漏洞後所帶來最正面的事情就是喚醒了整個生態體系,讓裝置製造商與電信營運商理解他們必須更頻繁且迅速地進行更新。除了Google、三星及LG已計畫每月定期更新Android之外,由Zimperium所主導的ZHA聯盟(Zimperium Handset Alliance)迄今已招募逾25家手機製造商與電信營運商會員,將可取得來自Zimperium的行動平台更新。(編譯/陳曉莉)

熱門新聞

Advertisement