還記得資安業者Zimperium在去年7月揭露的Android安全漏洞「怯場」(Stagefright)嗎?這是一系列與Android處理多媒體有關的安全漏洞,只要一封惡意簡訊就能行駭,影響近10億台的Android裝置,自Stagefright曝光之後,Google每次都會修補相關漏洞,一年來已修補了115個。
攤開怯場漏洞對Android生態體系所帶來的影響,在去年7月27日被公開揭露後,Zimperium於8月1日發表Zimperium手機聯盟(Zimperium Handset Alliance,ZHA),鼓勵全球手機製造商及電信營運商加入以取得Zimperium所提供的平台更新,迄今已有25家業者參與;Google、三星與LG相繼進入每月例行性修補的標準程序;截至今年3月,全球仍有8.5億台Android裝置受到怯場漏洞影響;美國聯邦交易委員會(Federal Trade Commission,FTC)與美國聯邦通訊委員會(Federal Communications Commission,FCC)也因而在今年5月針對行動製造商與營運商的更新流程展開調查。
Zimperium說,從去年8月以來,Google每月的Android定期更新都會修補與多媒體相關的安全漏洞,例如今年7月所修補的107個安全漏洞中,就有17個與Mediaserver有關。
此外,Zimperium副總裁Joshua Drake則向eWeek透露,這一年來Google總計修補了115個攸關Mediaserver的安全漏洞,其中有49個位於Libstagefright、35個位於Libmedia,以及31個位於Libstagefright所仰賴的各種函式庫。
Drake說,他知道怯場漏洞會對Google與Android帶來衝擊,但沒想到會延續到一年之後。
另一方面,有鑑於多數Android用戶的更新能力掌控在裝置製造商與電信營運商的手上,Zimperium估計怯場漏洞的各種修補程式可能需要很多年才能觸及所有的Android用戶。
Zimperium在公布怯場漏洞後聲名大噪,除了獲得Google所提供的5萬美元獎勵之外,也使得該公司的募資更加容易。Zimperium亦透過Google Play供應了Stagefright Detector,以讓使用者偵測自己的Android裝置是否受到波及,迄今下載次數已突破50萬。