你一定记得怯场断层,您只需发送彩信即可控制 Android 智能手机。津佩瑞姆研究人员于去年七月提出了这一发现,他们刚刚提出了类似的新攻击,几乎同样可怕。它被称为 Stagefright 2,它允许您使用 MP3 或 MP4 文件远程破解 Android 终端。用户只需开始播放此类受感染的媒体文件即可。
攻击向量可以是多个。黑客可能会尝试使用网络钓鱼方法将用户引导至受感染的网站。如果它与目标位于同一网络上,它还可以使用“中间人”注入发送其捕获的文件。最后,我们还可以想象一下受骗应用程序在应用程序商店中的分布情况。
两种技术途径
在技术层面上,黑客可以通过两种不同的方式来利用他的漏洞:要么使用“libstagefright”库中的缺陷,要么依赖“libutils”库中的缺陷。第一种方法适用于所有运行 Android 5.0 或更高版本的智能手机。
仅当终端使用“libutils”库的易受攻击部分时,第二种情况才有可能,例如通过“制造商或运营商在手机上预装的第三方应用程序或功能”,指定津佩兰。另一方面,这种方法的优点是可以到达所有其他版本的 Android。因此,Stagefright 2 可能对所有 Android 终端构成风险!
研究人员不会在网上向公众发布概念验证,但打算在 10 月底之前将其分发给合作伙伴。此外,他们将更新应用程序« 怯场探测器 »一旦谷歌发布补丁。在此之前,请留意 MP3/MP4 文件。
来源 :
