回归最本质的信息安全

一张图片如何毁掉所有的安卓设备?

2016年9月10日发布

2,181
0
0

导语:你在用安卓智能机吗?那你必须要知道这件事了:社交网络上一个看似无公害的图片或者消息应用都可能致使安卓手机崩溃。

你在用安卓智能机吗?那你必须要知道这件事了:社交网络上一个看似无公害的图片或者消息应用都可能致使安卓手机崩溃。
除了感染了9亿台设备的Quadraooter 漏洞之外,谷歌还修补了一个之前未被发现严重漏洞。攻击者可以将它嵌入进一张看似无公害的照片中,然后通过社交媒体或者聊天软件进行传播,从而开展他们的攻击活动。

事实上,受害者都不必去点击这些有害的照片。只要这些照片发送到了受害者手机里,其中的恶意程序就会神不知鬼不觉地让攻击者能够远程地操作或者毁掉这些设备。

这一漏洞类似于去年的Stagefright漏洞,攻击者可以利用简单的短信悄悄地攻击安卓设备而不被用户发现。

一个和Stagefright很相似的漏洞

Stagefright漏洞曾感染超过9.5亿台安卓设备,并且这一漏洞存在于安卓核心程序stagefright中。Stagefright是一个多媒体库,用于存储和处理安卓系统中的多媒体文件。

但是,最近来自SeninelOne的安全研究员TimStrazzerez在安卓应用发现了一个漏洞(CVE-2016-3862),它存在于解析图片Exif数据过程中。所有使用安卓Java object ExifInterface代码的应用都有可能受该漏洞的影响。

只要受害者在受感染的应用(例如Gchat和Gmail)中打开了这种图片,那么黑客就可以远程摧毁受害者设备或者远程执行恶意代码,从而将恶意软件植入受害者设备,控制受害者设备。并且整个过程,受害者都不会察觉。

因为漏洞的触发不需要太多的用户交互作用,应用程序只需以一个特殊的方式加载图片即可,触发该漏洞就像接收信息或者邮件那么简单。当应用程序尝试解析图片时,漏洞就会被触发。

根据Strazzere的说法,攻击者仅仅需要在图片中植入一个很简单的漏洞利用程序就能攻击到大量的安卓设备。

Strazzere制作了一个漏洞利用程序,测试了受影响的设备,并且发现这一漏洞在Gchat,Gmail以及很多其他消息和社交媒体软件上是有效的,然而他并没有透露被这一漏洞影响的其他非谷歌应用程序的名字。

所有的谷歌操作系统,包括从安卓4.4.4版本到6.0.1 版本都会受到该漏洞的影响,希望本周的安全更新能够修复这一问题。

研究人员甚至成功地测试到,安卓4.2系统和亚马逊设备也受该漏洞的影响,并且也未被修复。所以,如果你的设备没有更新到新版本的操作系统,那你很可能会受到该漏洞的影响。

谷歌已经使用了一些补丁来修复这一问题,但是就手机制造商和运营者发布的安全补丁的恶劣历史来看,不知道要经过多久安卓手机的漏洞才能发布出来。

​本文翻译于thehacknews,如若转载,请注明了来源于嘶吼: http://www.4hou.com/info/news/2108.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

lujiang

lujiang

嘶吼资讯编辑

发私信

发表评论