Android 的“Stagefright”缺陷置数亿用户于危险之中

在几个严重的缺陷被公开后，Google 已迅速采取应对措施安抚用户。

其中 Google Stagefright 媒体播放引擎的多远程代码扩展（Media Playback Engine Multiple Remote Code Execution）缺陷允许攻击者经彩信（MMS）向 Android 设备上的这个引擎发送媒体文件，以此发起攻击。而这个 Stagefright 引擎本身是负责处理多个流行的媒体格式的。

攻击者能窃取受感染手机上的数据，并挟持麦克风和摄像头。

Android 是当前最流行的移动操作系统，这意味着，数亿人手中运行着的Android 2.2 或更高版本的手机存在被攻击的危险。

Zimperium 的移动安全专家 Joshua Drake说：

一次成功的破坏性攻击，甚至能够在你看到这条彩信之前就自我删除了，你只会看到一条提示信息。这不像鱼叉式钓鱼攻击那样，受害者需要打开来自攻击者的 PDF 文件或链接。这个缺陷会在你晚上熟睡的时候就被触发，接着攻击者在你手机上做完手脚后，会清理掉所有痕迹后才离开。第二天醒来，你还是像往常一样玩手机——被植入木马的手机。

Zimperium 提到：“Google 迅速采取了措施，在 48 小时内就在内部代码分支上打了补丁，但是不幸的是，这只是个开始，因为要将补丁部署到用户的手机上还需要走漫长的流程。”

而 NPR 则报道说，能否部署这个最新的补丁，就取决于Google 将最新的Android OS 交给智能手机/ 平板电脑厂商后，这些厂商是否愿意去更新或应用这个补丁了。

Silent Circle称他们的Blackphone 在几周前就已经打了补丁。同样， CyanogenMod 在几周前，已经在 CM12.0 和 12.1 里打了补丁。而 Mozilla 也已经在 Firefox 38 里修复该漏洞。而一些手机厂商则还在等待官方的正式更新。

安全软硬件厂商 Sophos 说，Google Nexus 手机的用户可能已经是安全的了，但对于其他厂商的产品，除非他们公开声明，否则还不能确定他们的手机是否已经打了补丁。而Zimperium 则对详细的统计报告暂时保密，直到8 月5 日的 Black Hat USA 大会的时候，才会公开。

Google Android 安全部门的首席工程师 Andrew Ludwig说：

更新补丁确实是最终的办法。但在整个安全技术的多层栈式体系中，它不应该是第一和唯一的一种安全手段。

对于高级缺陷利用的缓解技术，我持乐观态度，因为当补丁是唯一选择的时候，这些技术能帮助我们迅速定位并解决问题，保护用户的设备。我也希望能深入研究这些技术，并利用他们避免 Android 或其他平台被恶意利用。

要避免自己 Android 设备受到 Stagefright 缺陷的影响，用户首先要做的，就是在手机的信息类应用里禁用“自动获取”彩信和 Google Hangouts 这些选项。毕竟，该缺陷是存在于 Stagefright 媒体库里面，所以只有通过彩信才能发起攻击。

在 Google 将该缺陷等级定义为“高”后，Ludwig 就提醒： “人们通常有一个错误的假设，就是所有的软件Bug 都会被攻击者恶意利用。但事实上，大部分Bug 都不能被利用。”

此外，Google 已经宣布了他们的 Android 安全奖励计划，鼓励广大研究人员去验证那些可被利用的缺陷，对能够进行远程入侵的开发者，将奖励最高 30,000 美元奖金。

查看英文原文： Android ‘Stagefright’ Vulnerabilty puts Millions at Risk

感谢张龙对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作，请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博（ @InfoQ ， @丁晓昀），微信（微信号： InfoQChina ）关注我们，并与我们的编辑和其他读者朋友交流（欢迎加入 InfoQ 读者交流群）。