資安大漏洞 9億支Android手機恐被駭
收到惡意碼訊息即中鏢
〔編譯周虹汶/綜合報導〕以色列網路安全公司「Zimperium」廿七日指出,谷歌(Google)的安卓(Android)系統存在嚴重漏洞,駭客只要擁有民眾電話號碼,即可發送夾藏惡意碼的影音簡訊駭入裝置並自行開啟,該「木馬」訊息成功進駐後還會自行刪除,全程神不知鬼不覺,堪稱「安卓漏洞之王」。儘管目前尚無跡象顯示有任何駭客從中獲利,但已讓全球九.五億安卓手機用戶處於險境。
Zimperium四月發現問題後,已在當月九日即刻告知谷歌,並提供相關修補檔;谷歌也在兩天內迅速轉達相關資訊予各夥伴,並更新其原生安卓手機「Nexus」。但因安卓為開放原始碼的作業系統,軟體更新仰賴硬體製造商及網路服務業者配合,因此更新速度非谷歌能掌控。
Zimperium指出,上述漏洞位於可自動預載多媒體訊息(MMS)影音的安卓多媒體框架「Stagefright」,安卓二.二以上版本都有被駭風險,大約是九十五%的安卓手機。此漏洞極度危險之處在於,它不須用戶打開任何文件或連結,即可入侵手機並進行後續遠端秘密監控及竊取資訊:在一般訊息系統收到惡意MMS的用戶,點選訊息即會「中鏢」,就算沒開附檔;若有使用谷歌開發的即時通訊服務「Hangouts」,就算不開啟程式,駭客都能得手。
此漏洞發現至今已超過一百一十天,Zimperium估計只有二至五成安卓用戶獲得更新。依資訊業慣例,發現漏洞並通報後,開發商應於九十天內解決問題;之後問題應公諸於世,以便使用者了解風險。Zimperium預計於下月在拉斯維加斯「二○一五美國黑帽大會」及「DefCon黑客大會」上公布更多研究成果。
惡意軟體 99%針對安卓
安卓手機市占率約八成,全球用戶逾十億,因此成為惡意軟體首要目標。防毒軟體公司「F-Secure」今年第一季數據顯示,九十九%手機惡意軟體設定攻擊採用安卓系統的行動裝置。