駭客可發毒短訊 近10億Android手機恐遭殃 最嚴重漏洞

圖片來源：香港文匯報

流動電子保安公司Zimperium發出警告，指全球最多機主使用的智能手機作業系統Android存在嚴重保安漏洞，可以讓駭客輕易透過文字訊息入侵，即使用家不打開懷疑有問題的多媒體短訊(MMS)，也照樣被偷襲。傳媒形容這是「所有Android蠕蟲之母」，估計會有近10億部Android手機受影響。

《星島日報》報導，名為Stagefright的Android程式碼是問題核心，其作用是自動預載文字訊息所附的影片，但Zimperium在官方網誌中指出：「施襲者只須知道你的流動電話號碼，透過MMS文字訊息，在訊息內暗藏一個媒體檔案，便可以控制對方，以遙控方式執行指令。」又指：「更厲害的攻擊方式是在傳送有問題文字訊息後，能迅速把它刪除，機主無機會細閱訊息內容，只會收到有訊息傳來的通知。」

Zimperium公司的保安研究員德雷克指出，在流動電子裝置作業系統的歷史中，這是他們至今發現的最惡劣的Android保安漏洞，即使機主不做任何動作，照樣會「中招」。

在機主收到訊息的一瞬間，裝有Hangout短訊軟件的Android系統就開始對短訊進行初始處理，這時，惡意軟件便可開始攻擊。只要機主接收了MMS短訊，便會啟動惡毒原碼，駭客便可全面控制對方的智能手機，干擾手機各項功能，例如咪高峰或攝影機，甚至秘密打開攝像鏡頭。在整個過程中，機主可能懵然不知。

Stagefright程式會影響Android 2.2版本以上的手機，而運行比Jelly Bean 4.2版本舊、通常較為低檔的Android裝置則更易被入侵，因為這些裝置沒有較新幾代操作系統內建的安全基礎程式。

該公司估計，全球9億5000萬部使用Android系統的智能手機中，可能有95%受到威脅。

Zimperium表示已將這個問題通報Google，並將修補程式提供給這家加州網路公司。Zimperium表示：「Google迅速採取行動，48小時內將修補程式提供內部程式碼部門，但不幸地，這只是一段漫長更新過程的開端。」根據Zimperium，似乎尚未出現駭客利用Stagefright弱點的情況。

Google周一(27日)發聲明說，計畫下周開始向Nexus裝置推出進一步的安全保護措施。Motorola公司亦表示，Google 6月已通知他們有這個程式錯誤，該公司已在最新幾個Lollipop操作系統的更新中融合了修補程式，並將盡快把修補程式擴展至全部操作系統。