一張圖片能導(dǎo)致數(shù)百萬Android手機被黑?

責任編輯:editor005

2016-09-08 15:16:20

摘自:FreeBuf.COM

谷歌今天發(fā)布了最新的Android安全公告(Android Security Bulletin),針對前一陣曝出的一系列漏洞做了補丁修復(fù),比如說影響到9億臺設(shè)備、針對高通芯片的Quadrooter漏洞——這也是本次Android補丁修復(fù)漏洞的重點。

谷歌今天發(fā)布了最新的Android安全公告(Android Security Bulletin),針對前一陣曝出的一系列漏洞做了補丁修復(fù),比如說影響到9億臺設(shè)備、針對高通芯片的Quadrooter漏洞——這也是本次Android補丁修復(fù)漏洞的重點。

不過來自Forbes的報道,實際上這次谷歌還修復(fù)了一個鮮為人知的漏洞,看起來也是相當危險:只要有人給你發(fā)一張照片,Android手機就可能被入侵——在某些情況下,用戶甚至不需要點擊這張照片,手機自動對照片進行解析時,黑客就能遠程控制Android設(shè)備,或者令設(shè)備變磚。

  點開圖片 手機就變磚

該漏洞編號為CVE-2016-3862,實際上和先前著名的Stagefright(只需要一條彩信就能控制受害者的手機)有些類似,或者說和前一陣蘋果系統(tǒng)中的CVE-2016-4631漏洞更像。不過這次的漏洞與圖片的EXIF信息有關(guān):數(shù)字圖片除了自身呈現(xiàn)畫面的數(shù)據(jù)之外,還附帶有EXIF數(shù)據(jù)——比如這張照片是用什么設(shè)備拍的,照片拍攝所在地理位置、拍攝時光圈、快門分別是多少等等,這些信息就屬于EXIF數(shù)據(jù)部分。

Android系統(tǒng)中讀寫JPG圖片EXIF擴展信息的API為ExifInterface——在應(yīng)用解析圖片信息的過程中,該漏洞就能被惡意代碼利用。任何使用了ExifInterface類的Android應(yīng)用都可能觸發(fā)此漏洞。來自安全公司SentinelOne的Strazzere表示,如Gchat、Gmail這些應(yīng)用,用戶在這些應(yīng)用中打開圖片文件,就可能導(dǎo)致設(shè)備崩潰,甚至“遠程代碼執(zhí)行”,并在用戶毫無察覺的情況下在系統(tǒng)中植入惡意程序,并進行全面控制。

“該漏洞不需要引起用戶太多的注意就能觸發(fā),比如應(yīng)用只需要以特定的方式來加載圖片。觸發(fā)的方式非常簡單,包括接收一條消息或者電子郵件。只要應(yīng)用對照片進行解析(這個過程是系統(tǒng)自動進行的),就會導(dǎo)致問題發(fā)生。”

“從理論上來說,攻擊者可以在圖片文件中構(gòu)建惡意代碼,感染大量設(shè)備…Gchat、Gmail和絕大部分其他消息通訊應(yīng)用、社交網(wǎng)絡(luò)應(yīng)用都可能觸發(fā)該漏洞。”不過Strazzere并沒有說明,究竟具體是哪些應(yīng)用受到影響,只是說包括一些“隱私敏感”工具。

  若無法升級系統(tǒng) 請更換手機

Forbes的這篇文章中并沒有詳述該漏洞的技術(shù)細節(jié),我們從Android安全公告中看到,谷歌對這個漏洞的歸類為“Mediaserver中的遠程代碼執(zhí)行漏洞”,漏洞威脅等級為Critical緊急級別。漏洞描述如下:

“Mediaserver中的遠程代碼執(zhí)行漏洞,攻擊者通過專門構(gòu)建的文件,在媒體文件和數(shù)據(jù)處理過程中,可致內(nèi)存崩潰(corruption)。鑒于該問題可導(dǎo)致在Mediaserver進程中進行遠程代碼執(zhí)行,故將漏洞分級為緊急級別。”

谷歌這次發(fā)布的Android系統(tǒng)9月補丁針對Android 4.4.4及更高版本的系統(tǒng)(已經(jīng)升級Android 7.0的設(shè)備似乎是不受影響的),不過據(jù)說更老版本的系統(tǒng)也存在這一問題,只不過谷歌已不再支持早期版本的系統(tǒng)更新。Strazzere特別針對Android 4.2以及部分亞馬遜Kindle平板設(shè)備進行了試驗,發(fā)現(xiàn)也都存在此問題。

所以Strazzere的建議是,如果你的Android手機過老,已經(jīng)不能再進行系統(tǒng)升級了,那么只要你還在意安全性,就請換一部手機吧。運行Android 4.4.4系統(tǒng)以上版本的Nexus設(shè)備今天應(yīng)該就會收到一波更新,其他OEM廠商的Android設(shè)備就需要等廠商和運營商的補丁推送計劃了。

根據(jù)Android系統(tǒng)BUG獎勵計劃,Strazzere獲得了谷歌4000美元的獎勵,不過據(jù)說谷歌還多獎勵了另外4000美元給他。而Strazzere則將這8000美元捐給了Girls Garage項目(為9-13歲的女孩準備的building計劃)。

* FreeBuf官方報道,本文作者:歐陽洋蔥,轉(zhuǎn)載請注明來自FreeBuf.COM

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號