資安大漏洞9億支Android手機(jī)恐被駭

譯周虹汶

收到惡意碼訊息即中鏢

以色列網(wǎng)絡(luò)安全公司“Zimperium”二十七日指出，谷歌（Google）的安卓（Android）系統(tǒng)存在嚴(yán)重漏洞，駭客只要擁有民眾電話號(hào)碼，即可發(fā)送夾藏惡意碼的影音簡(jiǎn)訊駭人裝置并自行開(kāi)啟，該“木馬”訊息成功進(jìn)駐后還會(huì)自行刪除，堪稱(chēng)“安卓漏洞之王”。盡管目前無(wú)跡象顯示有任何駭客從中獲利，但已讓全球9.5億安卓手機(jī)用戶(hù)處于險(xiǎn)境。

Zimperium四月發(fā)現(xiàn)問(wèn)題后，已在當(dāng)月九日即刻告加谷歌公司，并提供相關(guān)補(bǔ)丁;谷歌也在兩天內(nèi)迅速轉(zhuǎn)達(dá)相關(guān)資訊予各伙伴公司，并更新其原生安卓手機(jī)“Nexus”。

Zimperium指出，上述漏洞位于可自動(dòng)預(yù)載多媒體訊息（MMS）影音的安卓多媒體框架“Stagefright”，安卓2.2以上版本都有被駭風(fēng)險(xiǎn)，大約是95%的安卓手機(jī)。此漏洞極度危險(xiǎn)之處在于，它不須用戶(hù)打開(kāi)任何文件或連結(jié)，即可入侵手機(jī)并進(jìn)行后續(xù)遠(yuǎn)端秘密監(jiān)控及竊取資訊。若有使用谷歌開(kāi)發(fā)的即時(shí)通訊服務(wù)“Hangouts”，就算不開(kāi)啟程式，駭客都能得手。

此漏洞發(fā)現(xiàn)至今已超過(guò)110天，Zimperium估計(jì)只有二至五成安卓用戶(hù)獲得更新。依資訊業(yè)慣例，發(fā)現(xiàn)漏洞并通報(bào)后，開(kāi)發(fā)商應(yīng)于九十天內(nèi)解決問(wèn)題，之后問(wèn)題應(yīng)公諸于世，以便使用者了解風(fēng)險(xiǎn)。

惡意軟件的99%針對(duì)安卓

安卓手機(jī)市場(chǎng)占有率約八成，全球用戶(hù)逾十億，因此成為惡意軟件的首要目標(biāo)。防毒軟件公司“F-Secure”今年第一季數(shù)據(jù)顯示，99%手機(jī)惡意軟件設(shè)定攻擊采用安卓系統(tǒng)的移動(dòng)置。

（選自臺(tái)灣2015年7月29日《自由時(shí)報(bào)》）