回勞安中心首頁




 
  智財權與資安最新訊息
<< 回智財權與資安最新訊息

資安業者開發Android攻擊程式Metaphor,可攻陷三星、LG及HTC手機
 

以色列資安業者NorthBit上周指出,該公司所開發的Metaphor概念性驗證攻擊程式可成功攻陷去年被揭露的怯場(Stagefright)漏洞,自遠端注入惡意程式至Android手機,還能控制手機的關鍵功能,影響逾2億的Android手機,涵蓋三星、LGHTC等品牌。

 

怯場漏洞是由資安業者Zimperium在去年7月所公布、攸關Android平台媒體函式庫的漏洞統稱,當時總計揭露了8個安全漏洞,此次NorthBit則是針對了其中的CVE-2015-3864設計了Metaphor

 

編號為CVE-2015-3864的漏洞允許駭客藉由特製的MPEG-4檔案進行攻擊,成功攻陷後即可遠端執行任意程式。NorthBit指出,他們基於已發表的研究資料深究Android媒體函式庫的安全性,目標為繞過ASLR(隨機記憶體編排)記憶體保護程序。

 

NorthBit所打造的Metaphor可傳遞一個含有連結的訊息予受害者,連結指向一個代管影片的網站,當受害者嘗試下載該影片時,播放器就會當掉,駭客即可藉此偵測漏洞的存在與否,繼之傳送一個夾帶惡意程式的新影片予受害者。

 

Google去年即針對怯場漏洞展開大規模的修補行動,並實施每月定期更新的修補策略,自去年8月以來,Google已修補超過30個與Android媒體函式庫相關的漏洞。NorthBit表示,持續鎖定Android媒體函式庫的原因是它擁有許多漏洞及不良程式碼,除了影響眾多的裝置之外,還有不少方便的攻擊途徑,像是多媒體簡訊、即時簡訊及瀏覽器等。

 

Metaphor可攻陷採用Android 2.2Android 4.0平台,以及Android 5.0Android 5.1平台的Android裝置,已成功於LG製造的Nexus 5LG G3,以及HTC OneSamsung S5等裝置上完成測試,估計約有2.75億支的Android手機曝露於風險中。

 



《參考來源》ithome-陳曉莉




 
上一筆>> 資安科技中心存廢成話題,彙整九大質疑,讓你一次看個夠
下一筆>> 網路犯罪日增 歐盟境內增3成
 
本區最新資訊

<< 回智財權與資安最新訊息