趨勢科技研究人員發現了更多有關 Android 裝置「Stagefright」(怯場) 漏洞 (CVE-2015-3824) 的更多資訊。
「Stagefright」事實上是一群漏洞的總稱,總共包含七個不同漏洞。其中一個就是 CVE-2015-3824,這是趨勢科技研究團隊與其他資安研究人員分別獨力發現的漏洞之一。這樣的情況在漏洞研究領域其實相當普遍。例如,過去我們也和其他研究人員分別發現了 Microsoft 最近緊急修補的 MS15-078 漏洞 (當然也同時獲得列名)。
此次,趨勢科技的研究團隊又和其他同業分別獨力發現了這個可透過多媒體簡訊 (MMS) 攻擊的漏洞。只不過他們多發現了另外兩種該漏洞的攻擊方式。在與 Google 討論之後,現在我們終於可以公開這些細節。
第一種新的攻擊方式是透過一個放在網站上的惡意影片檔。這種方式幾乎與透過多媒體簡訊 (MMS) 攻擊的方式一樣危險,因為現在很多影片都是自動播放,尤其是行動裝置。此外,該漏洞還能避開 Chrome 瀏覽器關閉自動播放影片的設定。因此,駭客只要能引誘使用者連上網站來觀賞惡意的影片,就能完全掌控使用者的裝置。
另一種新的攻擊方式是利用一個惡意的 App 程式或一個精心設計的 MP4 檔案。一旦使用者下載並開啟了這個檔案,駭客就能完全掌控裝置。
儘管關閉 MMS 功能並無法防範這兩種新的攻擊方式,不過,至少還是防堵了其中一種管道,因此,如果 MMS 功能基本上用不到,將它關閉倒是個不錯的想法。
雖然透過網站的攻擊方式就目前所知仍無解決之道,但趨勢科技的網站信譽評等服務卻可防範一些已知的惡意網站。使用者若要避免下載到惡意的 App 或 MP4 檔案,平時下載檔案時就應更小心謹慎。研究人員一旦發現惡意 App 程式,一些手機防護軟體,如趨勢科技「安全達人」免費行動防護App( Android / iOS ),就能加以防範。
當然,套用修補程式才是徹底的解決之道,但除非您的手機是 Google Nexus,否則您得等到您的電信業者或手機廠商釋出安全更新才行。
不幸的是,目前 89% 的 Android 使用者都有風險,但許多裝置卻因為太過老舊,不然就是電信業者或手機廠商不再提供更新,而無法修補這項漏洞。對於這些無法修補的 Android 系統,使用者只好購買新機來解決這個問題。
原文出處: The Show Goes On—More “Stagefright” Horrors with Auto-Play Videos|作者:Christopher Budd (全球威脅通訊)
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
▼ 歡迎加入趨勢科技社群網站▼
