資安業者Zimperium上周揭露了Android平台上的「怯場」(Stagefright)重大安全漏洞,駭客只要以惡意的多媒體簡訊就能遠端入侵Android裝置,全球約有9.5億台Android手機存有此一安全風險,使得Google及全球的手機與ISP業者陸續開始在本周啟動Android史上最大的一次安全更新。
Stagefright漏洞影響了市場上95%的Android裝置,不論是早期的Android 2.2(Froyo)或是最新的Android 5.1(Lollipop)版本都受到波及,Android版本與更新來源的分散,都讓此次的大規模更新更顯困難。
根據Android的版本分布圖,目前市場上光是由Google釋出的Android版本就有9種,而且不論是電信營運商、裝置製造商,或是韌體製造商都會推出客製化的Android版本,代表整個Android生態體系最近都將忙於修補Stagefright漏洞。
除了Nexus用戶可直接自Google取得更新程式外,不同品牌的Android手機用戶或是向不同電信營運商購得Android手機的使用者,或是採用了第三方Android韌體的用戶都必須透過各自的服務供應商安裝更新。
Google已經修補了Android平台上的Stagefright漏洞,上周已將更新版提交給各個合作夥伴,同時也藉由Android開放源碼專案公開釋出修補程式。
Zimperium宣稱Stagefright的危險性比PC上的Heartbleed漏洞還要嚴重,因為只要駭客能夠傳送多媒體簡訊到Android手機上,完全不需要使用者的互動就能展開攻擊,存取手機資訊或於手機上執行任意程式。簡單的攻擊手法再加上嚴重的後果讓Google、三星及LG相繼於本周變更Android裝置的修補政策,宣布未來將每月定期釋出Android的安全更新。
Zimperium則於上周設立了Zimperium手機聯盟(Zimperium Handset Alliance,ZHA),鼓勵全球的智慧型手機製造商與電信營運商加入,以取得由Zimperium所提供的行動平台更新,短短一周內就吸引了逾25家業者參與,透露出行動生態體系對相關機制的需求。
外界預期相關業者應會儘快在8月修補此一安全漏洞,但與Stagefright漏洞有關的概念性驗證攻擊程式也會在本周相繼出爐,至於3年前的舊版Android手機用戶很可能已無法取得系統更新而必須變更手機上的MMS設定或安裝安全程式來自保。(編譯/陳曉莉)