以色列資安業者NorthBit上周指出,該公司所開發的Metaphor概念性驗證攻擊程式可成功攻陷去年被揭露的怯場(Stagefright)漏洞,自遠端注入惡意程式至Android手機,還能控制手機的關鍵功能,影響逾2億的Android手機,涵蓋三星、LG及HTC等品牌。

怯場漏洞是由資安業者Zimperium在去年7月所公布、攸關Android平台媒體函式庫的漏洞統稱,當時總計揭露了8個安全漏洞,此次NorthBit則是針對了其中的CVE-2015-3864設計了Metaphor。

編號為CVE-2015-3864的漏洞允許駭客藉由特製的MPEG-4檔案進行攻擊,成功攻陷後即可遠端執行任意程式。NorthBit指出,他們基於已發表的研究資料深究Android媒體函式庫的安全性,目標為繞過ASLR(隨機記憶體編排)記憶體保護程序。

NorthBit所打造的Metaphor可傳遞一個含有連結的訊息予受害者,連結指向一個代管影片的網站,當受害者嘗試下載該影片時,播放器就會當掉,駭客即可藉此偵測漏洞的存在與否,繼之傳送一個夾帶惡意程式的新影片予受害者。

Google去年即針對怯場漏洞展開大規模的修補行動,並實施每月定期更新的修補策略,自去年8月以來,Google已修補超過30個與Android媒體函式庫相關的漏洞。NorthBit表示,持續鎖定Android媒體函式庫的原因是它擁有許多漏洞及不良程式碼,除了影響眾多的裝置之外,還有不少方便的攻擊途徑,像是多媒體簡訊、即時簡訊及瀏覽器等。

Metaphor可攻陷採用Android 2.2到Android 4.0平台,以及Android 5.0到Android 5.1平台的Android裝置,已成功於LG製造的Nexus 5、LG G3,以及HTC One及Samsung S5等裝置上完成測試,估計約有2.75億支的Android手機曝露於風險中。


Advertisement

更多 iThome相關內容