趨勢科技研究人員發現了更多有關 Android 裝置「Stagefright」(怯場) 漏洞 (CVE-2015-3824) 的更多資訊。
「Stagefright」事實上是一群漏洞的總稱,總共包含七個不同漏洞。其中一個就是 CVE-2015-3824,這是趨勢科技研究團隊與其他資安研究人員分別獨力發現的漏洞之一。這樣的情況在漏洞研究領域其實相當普遍。例如,過去我們也和其他研究人員分別發現了 Microsoft 最近緊急修補的 MS15-078 漏洞 (當然也同時獲得列名)。
此次,趨勢科技的研究團隊又和其他同業分別獨力發現了這個可透過多媒體簡訊 (MMS) 攻擊的漏洞。只不過他們多發現了另外兩種該漏洞的攻擊方式。在與 Google 討論之後,現在我們終於可以公開這些細節。
第一種新的攻擊方式是透過一個放在網站上的惡意影片檔。這種方式幾乎與透過多媒體簡訊 (MMS) 攻擊的方式一樣危險,因為現在很多影片都是自動播放,尤其是行動裝置。此外,該漏洞還能避開 Chrome 瀏覽器關閉自動播放影片的設定。因此,駭客只要能引誘使用者連上網站來觀賞惡意的影片,就能完全掌控使用者的裝置。
另一種新的攻擊方式是利用一個惡意的 App 程式或一個精心設計的 MP4 檔案。一旦使用者下載並開啟了這個檔案,駭客就能完全掌控裝置。 繼續閱讀