去年7月發現的「怯場」(stagefright)函式庫漏洞,儘管Google早已釋出修補程式,但受限於Android系統過度分化的市場現實,以及手機業者的不夠積極,可能仍有高達8.5億台Android相關裝置仍無法免於漏洞的攻擊。
發現怯場漏洞的資安業者Zimperium近日在官方部落格發表關於該漏洞的追蹤報告,發現儘管八個多月的時間過去,但仍有大量Android裝置尚未安裝完整的修補程式。
該公司利用日前推出的怯場漏洞偵測程式所得的資料,發現與怯場相關的漏洞中,分別有10%到43%不等的Android裝置仍無法抵禦,若以未修補率最高達42.84%的CVE-2015-3864漏洞來看,以現在Android裝置總量約14億到20億估算,則約有5.99億到8.56億台Android裝置仍曝露在該漏洞的資安風險下。
由於修補更新程式仰賴手機與電信業者的積極程度,Zimperium發現,個別國家的修補率差距很大,若以未修補率最高達42.84%的CVE-2015-3864漏洞來說(如下圖,來源:Zimperium),阿爾及利亞與摩洛哥有將近75%的Android裝置還未安裝相關修補程式,表現最佳的南韓與加拿大,也有超過4分之1的裝置還未安裝該修補程式。
若從電信業者來看,Motorola、三星(Samsung)、華碩、樂金(LG)、華為等業者都還有相關漏洞未補。
2015年7月首度被發現的Stagefright漏洞有多種類型,能夠過發送多媒體簡訊、連上特定網站或撥放特定多媒體檔案等,便在使用者未察覺的狀況下感染裝置,取得該裝置的控制權,後續並有相關漏洞一一被揭發。Google自8月起已經陸續發出修補程式。