EFF

2 文章

《安全周报》32期:安卓Stagefright漏洞、全新汽车黑客入侵和”请勿追踪”2.0

仅仅在23年以前,微软只是刚刚发布了Windows 3.1系统,而苹果正推出其第一代PDA(掌上电脑),而Linus Torvalds则在GNU许可证下发布了Linux操作系统。在同一时期,尤金•卡巴斯基也出版了一本书,上面详细介绍了那个时代所有已知的计算机病毒以及清除病毒的方法,其中—这些病毒程序都被称为-V。当时的网络威胁并不是像现在那么严重:一本小册子就能覆盖当时所有病毒的介绍,甚至在随后的20年里情况也并未太过糟糕。 The Complete Сatalogue of Malware, written by Eugene Kaspersky in 1992 《恶意软件完整产品目录》,尤金·卡巴斯基编写于1992年 而那个”天真纯洁”的时代早已一去不复返。现在,每天出现的新型恶意软件数量就多达32.5万。同时几乎每个星期,整个互联网行业都会面临系统安全问题的新考验—从汽车和滑雪板到核电厂,几乎遍及各个领域。这是最好的时代,也是最坏的时代:如今,随着越来越多的人开始重视他们依赖于计算机的数据、企业和个人生活的安全性,整个互联网世界才有可能变得更加安全。 而现在,即便你放松地躺在椅子上的时候,也能了解互联网安全的最新动态。每周一,我们都将为您带来上周发生的三条最重要的安全行业新闻,同时还有从各个网站收集的辛辣评论。这些新闻无一例外都精选自Threatpost和卡巴基斯官方。 Stagefright:还未造成任何改变的安卓漏洞 Threatpost新闻。Google反馈。CERT Advisory。Kaspersky Daily对于如何预防Stagefright感染的建议。 Wired将其称为”迄今为止发现的最严重安卓系统漏洞“之一,但这样的表述并不完全正确:因为它还要更糟。这一漏洞与Heartbleed和Shellshock的主要差别在于:我们不必为Stagefright想一个唬人的名字,Stagefright是安卓系统音频和视频播放的引擎,也是安卓开源项目的一部分。从技术上讲,Stagefright其实是一整套漏洞(来自Zimperium的研究专家发现了留在CVE基地的7个ID),主要与缓冲区溢出有关。 这一多媒体引擎的任务是回放各种音频和视频,正如ZDNet提到的,某种程度上Stagefright的独特功能可实现”你还在考虑是否观看某个视频之前”,它就已经准备好播放了。出于某些神秘的原因,有时所有这些任务都是在”上帝”访问权限级别下执行。但事实上,其中的原因并不神秘:只是这样更容易编码,仅此而已。尽管如此,Stagefright也非常容易脱离安卓沙盒,因此也易于遭受漏洞利用。 最终,我们有了一个出色的概念证明:向手机发送MMS(多媒体短信)–然后一切都一目了然。你甚至无需打开”载入的”MMS:手机会自动帮你打开,因为其编码方式考虑到了为用户的便利性。是不是就没有任何办法了呢?并不尽然。首先,在安卓4.1及以上版本中有一项地址空间布局随机化技术,可防止手机自动打开,或至少部分”解决了问题”。 其次,通过遵循负责任的漏洞披露规则,Zimperium成功阻止了漏洞利用代码。尽管如此,得益于已发布的补丁,所有问题都迎刃而解。 Google的反应则相当有趣。我们从安卓官方博客发布的相关博文中摘录了一小段:”一切都没问题。我们的沙盒棒极了。只有0.15%的安卓设备内存在恶意应用(后面跟着许多星号、细则和条款)。为了确保安全万无一失,Nexus设备需要每个月都进行安全升级。” ‘纵然Nexus设备安全无忧,那安卓智能手机和平板电脑又该如何是好呢?Google的举措无助于解决安卓非一致性问题-新设备常常延迟无法第一时间升级至最新操作系统版本,而更老的硬件则根本无法升级更新。 好在像HTC、三星、索尼和LG这样开发商已宣布,将比以往更频繁地升级他们的智能手机和平板电脑。尽管许多问题依然悬而未决,但我们可以明确的是一些电子设备的系统将进行升级更新。如果我们继续努力下去的话,可能终有一天所有问题都会得到解决。 但无论如何,这都是一个好的迹象。迟早有一天,安卓也会拥有自己的一套升级机制,就像微软的’周二补丁日’一样。正如一年前安卓首席安全工程师Adrian Ludwig在Google总部说的,Google在安全领域做的相当出色,只需再对Google