Google已经修补了Android平台上的Stagefright漏洞,上周已将更新版提交给各个合作伙伴,同时也藉由Android开放源码专案公开释出修补程式。外界预期相关业者应会尽快在8月修补此一安全漏洞。
资安业者Zimperium上周揭露了Android平台上的“怯场”(Stagefright)重大安全漏洞,骇客只要以恶意的多媒体简讯就能远端入侵Android装置,全球约有9.5亿台Android手机存有此一安全风险,使得Google及全球的手机与ISP业者陆续开始在本周启动Android史上最大的一次安全更新。
Stagefright漏洞影响了市场上95%的Android装置,不论是早期的Android 2.2(Froyo)或是最新的Android 5.1(Lollipop)版本都受到波及,Android版本与更新来源的分散,都让此次的大规模更新更显困难。
根据Android的版本分布图,目前市场上光是由Google释出的Android版本就有9种,而且不论是电信营运商、装置制造商,或是韧体制造商都会推出客制化的Android版本,代表整个Android生态体系最近都将忙于修补Stagefright漏洞。
除了Nexus用户可直接自Google取得更新程式外,不同品牌的Android手机用户或是向不同电信营运商购得Android手机的使用者,或是采用了第三方Android韧体的用户都必须透过各自的服务供应商安装更新。
Google已经修补了Android平台上的Stagefright漏洞,上周已将更新版提交给各个合作伙伴,同时也藉由Android开放源码专案公开释出修补程式。
Zimperium宣称Stagefright的危险性比PC上的Heartbleed漏洞还要严重,因为只要骇客能够传送多媒体简讯到Android手机上,完全不需要使用者的互动就能展开攻击,存取手机资讯或于手机上执行任意程式。简单的攻击手法再加上严重的后果让Google、三星及LG相继于本周变更Android装置的修补政策,宣布未来将每月定期释出Android的安全更新。
Zimperium则于上周设立了Zimperium手机联盟(Zimperium Handset Alliance,ZHA),鼓励全球的智慧型手机制造商与电信营运商加入,以取得由Zimperium所提供的行动平台更新,短短一周内就吸引了逾25家业者参与,透露出行动生态体系对相关机制的需求。
外界预期相关业者应会尽快在8月修补此一安全漏洞,但与Stagefright漏洞有关的概念性验证攻击程式也会在本周相继出炉,至于3年前的旧版Android手机用户很可能已无法取得系统更新而必须变更手机上的MMS设定或安装安全程式来自保。
