以色列移动信息安全公司研究人员约舒亚·德雷克近日宣布，在Android系统中发现了多处安全漏洞，影响当前约95%的Android设备。黑客只需简单的一条彩信，就可能完全控制用户的手机。

德雷克在Android平台的核心组成部分Stagefright中发现了多处漏洞，Stagefright主要用来处理、播放和记录多媒体文件。其中一些漏洞允许黑客远程执行恶意代码，只需用户接收一条彩信，通过浏览器下载一个特定视频文件，或者打开一个嵌入了多媒体内容的网页，黑客就可以发动攻击。

德雷克还称，在其他许多情况下，黑客也可能对用户发动攻击，因为只要Android平台接收到任何来源的媒体文件，都要通过Stagefright框架来处理。

Stagefright不只是用来播放媒体文件的，还能自动产生缩略图，或者从视频、音频文件中抽取元数据，如长度、高度、宽度、帧频、频道和其他类似信息。

这意味着无需用户执行一些恶意多媒体文件，只要复制这些文件，黑客即可利用Stagefright漏洞发动攻击。

德雷克不确定有多少应用依赖于Stagefright，但他认为，任何一款应用，只要处理Android上的媒体文件，就需要以某种方式来利用Stagefright。


在所有攻击途径中，彩信是最危险的，因为它不需要用户的任何互动，只需手机接收一条恶意信息即可。

德雷克不仅发现了存在于Stagefright中的这些漏洞，还开发了必要的补丁程序，并已提供给了谷歌。在通过Android开源项目发布之前，谷歌已经提前将该补丁提供给部分合作伙伴设备厂商。但遗憾的是，德雷克预计，由于Android更新较慢，当前超过95%的Android设备依然受Stagefright漏洞的影响。即使在谷歌自家的Nexus系列设备中，目前也只有Nexus6接收到了部分补丁。

﹏柳叶ゞ 2015-07-30 19:46:07