最新的一系列與 Android 相關的黑客攻擊和安全故障使消費者處于迄今為止最容易受到攻擊的位置：95% 的 Android 手機容易受到通過標準多媒體文本傳遞的攻擊，并且在大多數情況下，消息會在之前自行刪除用戶甚至意識到他們已被破壞。

該漏洞最初由 Zimperium zLabs 的安全專家 Joshua Drake 于 2015 年 4 月發現，據信該漏洞影響了被認為在使用的 10 億部 Android 手機中的多達 9.5 億部。主要責任是媒體播放工具 Stagefright 中的一個 bug，包含在 2.2 以上的所有 Android 版本中。作為一個遠程代碼執行漏洞，黑客可以通過發送偽裝成彩信 (MMS) 的漏洞來利用未經修補的 Stagefright 版本，從而訪問手機中通過 Stagefright 權限可獲得的所有數據。

這意味著黑客只需要一個電話號碼就可以訪問用戶的電話并插入惡意代碼，然后他們就可以竊取照片、視頻，甚至在用戶完全不知情的情況下錄制音頻。更糟糕的是，黑客可以將彩信發送到任何能夠接受它的應用程序，并且有些應用程序甚至在用戶收到待處理的消息通知之前就自動激活了。其中，Drake 發現 Google Hangouts 是最臭名昭著的，因為它會“在你看手機之前立即觸發……甚至在你收到通知之前”，讓受害者完全不知道。

一旦獲得許可，黑客就不會很難以菊花鏈方式進行漏洞利用并“提升權限”，因為這樣的漏洞利用“在 Android 上相當容易獲得，有不少是公開的”。

“我在 Ice Cream Sandwich Galaxy Nexus 上做了很多測試……默認的 MMS 是消息應用程序?Messenger。那個不會自動觸發，但如果你查看彩信，它就會觸發，你不必嘗試播放媒體或任何東西，你只需要看看它，”德雷克補充道。

德雷克聲稱，盡管谷歌去年春天修補了這個致命漏洞，但制造商在修補他們的產品方面一直非常遲緩，這是造成如此廣泛漏洞的原因。

資料來源：福布斯

審核編輯 黃昊宇