揭露Android媒體函式庫「怯場」(Stagefright)漏洞的資安業者Zimperium再公布兩個相關漏洞,只要利用特製的MP3音樂或MP4影片就可能造成遠端程式攻擊,而且影響從Android 1.0之後幾乎所有的Android版本,波及10億名Android用戶,Zimperium將其稱為Stagefright 2.0漏洞。
Zimperium是在今年7月揭露8個Stagefright相關的安全漏洞,駭客只要傳遞內含特殊媒體檔案的多媒體簡訊給使用者,不需使用者的互動就能在手機上遠端執行任意程式。由於首代Stagefright漏洞幾乎影響所有的Android版本,因而掀起Google史上最大規模的安全更新,也促成不少裝置製造商開始仿效PC平台執行定期更新。
Zimperium繼續鑽研Stagefright的安全性之後又額外發現兩個安全漏洞,其中一個漏洞影響從Android 1.0迄今的所有Android版本,其中一個漏洞編號為CVE-2015-6602,另一個漏洞編號則尚未出爐。
相關漏洞藏匿在媒體檔案中的元資料處理程序,因此就算只是預覽音樂或是影片,都會觸發相關漏洞攻擊。由於Google已經修補了Hangouts與Messenger中的多媒體簡訊漏洞,因此新漏洞的攻擊媒介很可能是透過瀏覽器展開。包括誘導使用者造訪由駭客掌控的網站,或是利用中間人攻擊技術攔截使用者的瀏覽器流量,也能透過使用有漏洞函式庫的第三方程式。
根據Zimperium的研究,Android 5.0以上的版本已確認可藉由libstagefright的漏洞執行遠端程式攻擊,而較舊的版本只有在libutil中含有漏洞的功能被使用時才會受到影響,包括第三方程式、裝置製造商或電信業者都可能使用相關功能。
Google已計畫在下周修補相關漏洞,屆時Zimperium也會與Zimperium Handset Alliance(ZHA)用戶分享概念驗證攻擊程式,也將督促手機製造商或電信業者應在修補程式釋出後儘速展開更新。(編譯/陳曉莉)