苹果Xcode病毒门还没完安卓又被曝漏洞后遗症

摘要：连续几日，苹果Xcode病毒门事件持续发酵，再次引发公众对手机安全的关注。就在人们纷纷聚焦苹果之时，360无线安全团队C0RE Team最新披露，不久前被曝可影响95...

关键词：苹果Xcode

连续几日，苹果Xcode病毒门事件持续发酵，再次引发公众对手机安全的关注。就在人们纷纷聚焦苹果之时，360无线安全团队C0RE Team最新披露，不久前被曝可影响95%安卓设备的Stagefright漏洞尚存后遗症，该团队在安卓多媒体库中又挖出多个漏洞，其中4个已被谷歌确认为安全漏洞，有两个更被确认为高危漏洞。C0RE Team表示，漏洞详情将在即将举行的中国互联网安全大会(ISC2015)上发布。

一条神秘彩信能黑掉手机?

今年7月27日，信息安全公司Zimperium在博客发帖说，研究人员Joshua Drake在安卓平台的核心组成部分，即主要用来处理、播放和记录多媒体文件的Stagefright框架中发现多处安全漏洞。“黑客”只需知道用户手机号码，便可通过发送彩信的方式远程执行恶意代码。

漏洞的可怕之处在于，“黑客”可以在用户完全不打开或阅读彩信的情况下入侵手机，甚至赶在用户看到这条彩信前将其删除，神不知鬼不觉地“黑”掉手机，继而远程窃取文件、查收电邮乃至盗取用户名和密码等信息，而用户对这一切全然不知。“这类攻击的目标可以是任何人，”Zimperium公司说，“这些漏洞极其危险，因为它们无需受害人采取任何行动。”

按这家公司的说法，Stagefright框架的安全漏洞波及安卓多个版本，当时约有95%、即多达9.5亿部使用安卓系统的智能手机受到影响。

“谷歌行动及时，48小时内便在内部代码库应用了补丁程序，”Zimperium公司说，“不过，这只是个开始，更新部署将是非常漫长的过程。”

致命漏洞真的被修复了吗?

受到Zimperium公司的启发，在上述漏洞发布后的半个月内，360无线安全团队C0RE Team又接连发现了多个不同的漏洞并提交给谷歌。C0RE Team负责人透露，这些新发现的漏洞与Stagefright漏洞具备相同特征，且能够造成的危害力也与之等量，“利用这些漏洞，黑客发送一条彩信即可以对你的手机做任何事，甚至通过检查你的通讯录，用同样的方式把病毒扩散给你的其他朋友”。不仅仅是个人，C0RE Team负责人称，此类漏洞若不及时修复，甚至还可能被一些利益集团利用，从事黑产或者用于窃取军事信息等。

据了解，这些漏洞已经被C0RE Team提交给谷歌，其中4个漏洞已被谷歌确认为安全漏洞，有两个更被确认为高危漏洞。谷歌也着手修补漏洞并通知手机厂商，但由于厂商推送补丁需要一定的时间，安卓用户正在使用的各种系统中，漏洞尚未被修补。

这些漏洞是如何被发现又如何被利用做到远程攻击?安卓用户如何侦测自己的设备是否存在这些漏洞?C0RE Team称，更多细节与研究成果将在即将举行的中国互联网安全大会(ISC2015)“智能移动终端攻防论坛”上发布。

手机成终极情报收集工具?

前有安卓Stagefright漏洞，后有苹果Xcode病毒门，两大移动操作系统巨头先后陷入泥淖。相比二者连番卷入舆论漩涡的动荡不安而言，这些病毒门、漏洞门中，最终受到实质伤害的依然是普通用户，或个人隐私遭泄漏，或重要信息被贩卖,甚至可能招来不法分子的觊觎。

对此，以色列手机安全企业Kaymera CEO、移动安全顶尖专家Avi Rosen认为，智能手机如今已成为黑客的终极情报收集工具。随着低成本工具的出现和网上可提供产品的丰富多样，黑客可以将任何智能手机变成一个复杂的跟踪装置，具备提供实时的情报收集能力，并通过语音通话、短信、电子邮件、环境声音、照片、视频等内容，准确地对手机用户进行定位跟踪。

这意味着，无论你身在何处、正在做什么，时刻有目光躲在暗处窥伺的场景可能不再只是恐怖电影里的桥段，你的一切将暴露在攻击者面前。

黑客到底是如何利用智能手机成为情报收集工具的，普通手机用户可以用哪些方法抵御攻击?作为ISC2015的闭幕式嘉宾，Avi Rosen将在9月30日召开的全球互联网安全精英峰会上，详述各种移动网络攻击载体和情报搜集技术，并介绍用户们关注的保护移动资产和数据的有效方式。

责编：chenjian

济南订做防静电工服

衬衫制做

山西职业装制作