有許多最新的 Android 漏洞能讓遠端攻擊者只透過傳送惡意的多媒體簡訊 (MMS),就能入侵被感染的裝置。這些漏洞會對 Android 使用者產生威脅,因為在大多數的案例中,受害者只是點開惡意訊息而已,就會觸發攻擊行動。
這 7 個漏洞統稱為 Google Stagefright Media Playback Engine Multiple Remote Code Execution Vulnerabilities (包含:CVE-2015-1538、CVE-2015-1539、CVE-2015-3824、CVE-2015-3826、CVE-2015-3827、CVE-2015-3828 和 CVE-2015-3829)。這些漏洞會感染一個名為 Stagefright 的 Android 元件,是用來處理媒體播放的元件。
這 7 個漏洞當中的任何一種只要成功入侵,就能提供使用者遠端執行程式碼的能力。因此就有可能讓攻擊者在裝置上安裝惡意程式,然後由 Stagefright 允許存取的區域竊取資料。
由於這些漏洞造成的攻擊威脅以及十分容易發動攻擊,賽門鐵克將它們評定為「嚴重」等級。攻擊者只需要對這些漏洞成功發動攻擊,就能傳送精心設計的多媒體簡訊 (MMS) 到任何有漏洞的 Android 裝置。而這些刺探攻擊本身幾乎不需要和受害者互動。在大多數的案例中,受害者只不過是看一下惡意訊息,就會觸發攻擊行動了。而在某些案例中,例如透過 Google Hangouts 傳送惡意簡訊時,只要一收到簡訊甚至在受害者都還沒有收到通知之前,就能觸發攻擊。
該漏洞是由 Zimperium zLabs 的安全研究人員 Joshua Drake 發現的,他分別在 4 月和 5 月通知 Google。而 Google 則在 5 月 8 日時修補了這些漏洞。Google 在 Forbes 發表的聲明中表示,大多數 Android 裝置 (包括所有較新的機型)「都設計了多種讓攻擊更難以達成的技術」。它們表示:「Android 裝置也包含了專為保護使用者資料以及裝置上安裝的應用程式所設計的應用程式沙箱。」
雖然 Google 已開始提供修補程式,但在電信業者和製造商尚未推出他們本身的修補程式前,使用者還是處於風險之中,因此也讓這些漏洞的嚴重性變得更高。這個過程通常得花上好幾個星期或幾個月的時間,而較舊型的裝置很可能永遠都沒有機會取得修補程式。
風險緩和策略 我們建議 Android 使用者在他們的電信業者或裝置製造商一推出任何安全更新程式時立即套用。
在套用修補程式之,當收到不請自來的多媒體簡訊時,請提高警覺。避免下載或播放不明來源傳送過來的多媒體內容。
Android 使用者可以停用透過股票傳訊應用程式和 Google Hangous 自動擷取多媒體簡訊的功能。如此可提供一部份的風險緩和效果,但如果使用者下載或點擊了畸形或惡意的多媒體簡訊,就無法預防漏洞受到攻擊了。
圖 1.在股票傳訊應用程式中已啟用的自動擷取多媒體簡訊功能。停用這項功能,就能提供一部份的風險緩和方式。
圖 2.在 Google Hangouts 中已啟用的自動擷取多媒體簡訊功能。停用這項功能,就能提供一部份的風險緩和方式。