查看: 388240|回复: 5798

一张图片能导致数百万Android手机被黑?【转载】

[复制链接]
  • TA的每日心情
    奋斗
    2024-1-11 16:11
  • 签到天数: 426 天

    [LV.9]以坛为家II

    发表于 2016-9-8 20:07:55 | 显示全部楼层 |阅读模式
    谷歌今天发布了最新的Android安全公告(Android Security Bulletin),针对前一阵曝出的一系列漏洞做了补丁修复,比如说影响到9亿台设备、针对高通芯片的Quadrooter漏洞——这也是本次Android补丁修复漏洞的重点。
    不过来自Forbes的报道,实际上这次谷歌还修复了一个鲜为人知的漏洞,看起来也是相当危险:只要有人给你发一张照片,Android手机就可能被入侵——在某些情况下,用户甚至不需要点击这张照片,手机自动对照片进行解析时,黑客就能远程控制Android设备,或者令设备变砖。



    点开图片 手机就变砖

    该漏洞编号为CVE-2016-3862,实际上和先前著名的Stagefright(只需要一条彩信就能控制受害者的手机)有些类似,或者说和前一阵苹果系统中的CVE-2016-4631漏洞更像。不过这次的漏洞与图片的EXIF信息有关:数字图片除了自身呈现画面的数据之外,还附带有EXIF数据——比如这张照片是用什么设备拍的,照片拍摄所在地理位置、拍摄时光圈、快门分别是多少等等,这些信息就属于EXIF数据部分。

    Android系统中读写JPG图片EXIF扩展信息的API为ExifInterface——在应用解析图片信息的过程中,该漏洞就能被恶意代码利用。任何使用了ExifInterface类的Android应用都可能触发此漏洞。来自安全公司SentinelOne的Strazzere表示,如Gchat、Gmail这些应用,用户在这些应用中打开图片文件,就可能导致设备崩溃,甚至“远程代码执行”,并在用户毫无察觉的情况下在系统中植入恶意程序,并进行全面控制。

    “该漏洞不需要引起用户太多的注意就能触发,比如应用只需要以特定的方式来加载图片。触发的方式非常简单,包括接收一条消息或者电子邮件。只要应用对照片进行解析(这个过程是系统自动进行的),就会导致问题发生。”
    “从理论上来说,攻击者可以在图片文件中构建恶意代码,感染大量设备…Gchat、Gmail和绝大部分其他消息通讯应用、社交网络应用都可能触发该漏洞。”不过Strazzere并没有说明,究竟具体是哪些应用受到影响,只是说包括一些“隐私敏感”工具。



    若无法升级系统 请更换手机

    Forbes的这篇文章中并没有详述该漏洞的技术细节,我们从Android安全公告中看到,谷歌对这个漏洞的归类为“Mediaserver中的远程代码执行漏洞”,漏洞威胁等级为Critical紧急级别。漏洞描述如下:

    “Mediaserver中的远程代码执行漏洞,攻击者通过专门构建的文件,在媒体文件和数据处理过程中,可致内存崩溃(corruption)。鉴于该问题可导致在Mediaserver进程中进行远程代码执行,故将漏洞分级为紧急级别。”
    谷歌这次发布的Android系统9月补丁针对Android 4.4.4及更高版本的系统(已经升级Android 7.0的设备似乎是不受影响的),不过据说更老版本的系统也存在这一问题,只不过谷歌已不再支持早期版本的系统更新。Strazzere特别针对Android 4.2以及部分亚马逊Kindle平板设备进行了试验,发现也都存在此问题。

    所以Strazzere的建议是,如果你的Android手机过老,已经不能再进行系统升级了,那么只要你还在意安全性,就请换一部手机吧。运行Android 4.4.4系统以上版本的Nexus设备今天应该就会收到一波更新,其他OEM厂商的Android设备就需要等厂商和运营商的补丁推送计划了。

    根据Android系统BUG奖励计划,Strazzere获得了谷歌4000美元的奖励,不过据说谷歌还多奖励了另外4000美元给他。而Strazzere则将这8000美元捐给了Girls Garage项目(为9-13岁的女孩准备的building计划)。


                     转载自 黑客与极客
    回复

    使用道具 举报

    该用户从未签到

    发表于 2016-9-8 23:36:30 | 显示全部楼层
    支持,看起来还是可以的
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2016-9-9 04:12:57 | 显示全部楼层
    谢谢楼主的分享
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2019-2-12 22:05
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2016-9-9 07:05:02 | 显示全部楼层
    我是来水经验的……
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2016-9-9 09:57:32 | 显示全部楼层
    谢谢楼主的分享
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2016-9-9 10:06:55 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2016-9-9 16:32:59 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2016-9-9 20:17:45 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2016-9-9 22:48:00 | 显示全部楼层
    谢谢楼主的分享
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2016-9-10 00:39:10 | 显示全部楼层
    谢谢楼主的分享
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-24 01:44 , Processed in 0.027698 second(s), 14 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部