一張圖片能導致數百萬Android手機被黑?

發布時間: 2016-09-07 阿里聚安全

      谷歌今天發布了最新的Android安全公告(Android Security Bulletin),針對前一陣曝出的一系列漏洞做了補丁修復,比如說影響到9億臺設備、針對高通芯片的Quadrooter漏洞——這也是本次Android補丁修復漏洞的重點。

 

      不過來自Forbes的報道,實際上這次谷歌還修復了一個鮮為人知的漏洞,看起來也是相當危險:只要有人給你發一張照片,Android手機就可能被入侵——在某些情況下,用戶甚至不需要點擊這張照片,手機自動對照片進行解析時,黑客就能遠程控制Android設備,或者令設備變磚。

 無標題.png

 

      點開圖片 手機就變磚

 

      該漏洞編號為CVE-2016-3862,實際上和先前著名的Stagefright(只需要一條彩信就能控制受害者的手機)有些類似,或者說和前一陣蘋果系統中的CVE-2016-4631漏洞更像。不過這次的漏洞與圖片的EXIF信息有關:數字圖片除了自身呈現畫面的數據之外,還附帶有EXIF數據——比如這張照片是用什么設備拍的,照片拍攝所在地理位置、拍攝時光圈、快門分別是多少等等,這些信息就屬于EXIF數據部分。

 

      Android系統中讀寫JPG圖片EXIF擴展信息的API為ExifInterface——在應用解析圖片信息的過程中,該漏洞就能被惡意代碼利用。任何使用了ExifInterface類的Android應用都可能觸發此漏洞。來自安全公司SentinelOne的Strazzere表示,如Gchat、Gmail這些應用,用戶在這些應用中打開圖片文件,就可能導致設備崩潰,甚至“遠程代碼執行”,并在用戶毫無察覺的情況下在系統中植入惡意程序,并進行全面控制。

 

      “該漏洞不需要引起用戶太多的注意就能觸發,比如應用只需要以特定的方式來加載圖片。觸發的方式非常簡單,包括接收一條消息或者電子郵件。只要應用對照片進行解析(這個過程是系統自動進行的),就會導致問題發生?!?、


      “從理論上來說,攻擊者可以在圖片文件中構建惡意代碼,感染大量設備…Gchat、Gmail和絕大部分其他消息通訊應用、社交網絡應用都可能觸發該漏洞?!輩還齋trazzere并沒有說明,究竟具體是哪些應用受到影響,只是說包括一些“隱私敏感”工具。

 

       若無法升級系統 請更換手機


       Forbes的這篇文章中并沒有詳述該漏洞的技術細節,我們從Android安全公告中看到,谷歌對這個漏洞的歸類為“Mediaserver中的遠程代碼執行漏洞”,漏洞威脅等級為Critical緊急級別。

 

      漏洞描述如下:“Mediaserver中的遠程代碼執行漏洞,攻擊者通過專門構建的文件,在媒體文件和數據處理過程中,可致內存崩潰(corruption)。鑒于該問題可導致在Mediaserver進程中進行遠程代碼執行,故將漏洞分級為緊急級別?!?/p>

 

      谷歌這次發布的Android系統9月補丁針對Android 4.4.4及更高版本的系統(已經升級Android 7.0的設備似乎是不受影響的),不過據說更老版本的系統也存在這一問題,只不過谷歌已不再支持早期版本的系統更新。Strazzere特別針對Android 4.2以及部分亞馬遜Kindle平板設備進行了試驗,發現也都存在此問題。所以Strazzere的建議是,如果你的Android手機過老,已經不能再進行系統升級了,那么只要你還在意安全性,就請換一部手機吧。運行Android 4.4.4系統以上版本的Nexus設備今天應該就會收到一波更新,其他OEM廠商的Android設備就需要等廠商和運營商的補丁推送計劃了。

 

      根據Android系統BUG獎勵計劃,Strazzere獲得了谷歌4000美元的獎勵,不過據說谷歌還多獎勵了另外4000美元給他。而Strazzere則將這8000美元捐給了Girls Garage項目(為9-13歲的女孩準備的building計劃)。





[返回列表]
上一篇:“極客”揭示智能設備那些安全漏洞
下一篇:5G國家測試正式開啟 中興順利完成第一階段關鍵技術測試
?

重庆快乐十分走势图电脑版:版權所有 ? 2019 廣州納斯威爾信息技術有限公司

道人中特网 十一选五河北时时 刘刘伯温六肖管五期 重庆时时开奖结果 东京五分彩 必中pk10杀号计划软件 不看牌抢庄牛牛口诀 超级大乐透基本走势图 mg娱乐网址是多少 双色球开奖预测软件 体球网足球即时比分 老彩迷稳赚不亏的方法 重庆时时彩开奖记录 后二组选复式计算公式 重庆时时开奖官方网站 江苏快三大小单双口诀