这里有一个噩梦:一个简单的智能手机利用,不需要用户做多收到短信的任何其他。如果这样的事情担心你(如果你是一个IT经理,在一家商店,允许BYOD,它应该)再有就是对你不好的消息:这样的利用存在,它估计,Android智能手机的大致95%的它运行大约82%世界上估计1.91十亿的智能手机。
由Joshua J.德雷克,平台的研究和开发的副总裁发现Zimperium zLabs中,怯场漏洞是攻击未打补丁的系统非同凡响的效果:
建于几十从Android开源项目(AOSP)的源代码千兆字节的,领先的智能手机操作系统,携带它的心脏一个可怕的代码。命名怯场,这是一个媒体库,处理一些流行的媒体格式。由于媒体处理往往是对时间敏感,该库在本机代码(C ++)是更容易发生内存损坏不是像Java的内存安全语言实现的......在怯场代码,这些问题极其暴露的Android设备的95%,估计有950万个设备。
该公司解释说:
攻击者只需要您的手机号码,利用其远程可以通过通过彩信发送特制的媒体文件执行代码。你看到它的前一个完全武器化的成功的攻击甚至可以删除该邮件。您将只能看到该通知。这些漏洞是非常危险的,因为他们不要求受害人需要加以利用的任何行动。与矛钓鱼,在受害人需要打开一个PDF文件,或攻击者发送一个链接,而你的睡眠可以触发这个漏洞。你醒来之前,攻击者将删除被泄露设备的任何迹象,你会继续你的日子像往常一样 - 一个木马的手机。
The implications of this vulnerability are enormous because while you can patch your Android device to make it immune to StageFright, you’re not the problem … it’s the millions of other users out there who won’t get around to patching because they either don’t know about the issue or they don’t care.
总之,要详细了解怯场漏洞检查了以下工作:
- 美国国家公共电台:主要缺陷在Android手机将让黑客只是一个文本
- Zimperium:如何从怯场保护漏洞
- 布鲁斯:在Android手机怯场漏洞
如果您在BYOD环境的时候,好运气。虽然它似乎没有人有(到目前为止)检测到漏洞被利用,这并不意味着它没有。