趨勢科技(Trend Micro)周三(7/29)揭露一Android平台上的漏洞,藉由特製的MKV檔案即可讓Android手機接近昏迷狀態,影響Android 4.3到Android 5.1.1版本,代表約有57%的Android裝置受到影響。

趨勢行動威脅工程師Wish Wu說明,此一漏洞存在於Android平台上的媒體伺服器(mediaserver)服務,該服務是用來索引Android裝置上的媒體檔案,但它無法正確地處理基於Matroska容器的異常影片檔案(.mkv),每次開啟異常的MKV檔時就會造成堆積溢位,進而當機。

該漏洞造成的當機情況會讓手機的聲音失效,因此聽不見鈴聲,收到簡訊或通知時也不會有聲音,甚至無法順利接起電話,通話的雙方都聽不見彼此的聲音。而手機的反應則會變得很慢或完全沒反應,鎖住的電話亦無法解鎖。

Wu說,此一漏洞可透過兩種方式開採,一是打造一惡意程式並使其安裝在手機上,其次則是引誘使用者造訪惡意網站。第一個方法可能對裝置帶來長久的影響,一個含有異常MKV檔案的程式可讓自己成為開機時自動執行的程式,形成每次開機都會當掉的局面。

趨勢科技已於今年5月將該漏洞提交給Google,並被Google歸類為低風險漏洞,迄今尚未修補。Google對外表示,他們尚未發現針對該漏洞的實際攻擊行動,且就算遭到攻擊也只是暫時無法使用媒體播放功能而已,不過Google仍然打算會在之後的Android版本修補它。(編譯/陳曉莉)


Advertisement

更多 iThome相關內容