資安大漏洞9億支Android手機恐被駭

譯周虹汶

收到惡意碼訊息即中鏢

以色列網絡安全公司“Zimperium”二十七日指出，谷歌（Google）的安卓（Android）系統存在嚴重漏洞，駭客只要擁有民眾電話號碼，即可發送夾藏惡意碼的影音簡訊駭人裝置并自行開啟，該“木馬”訊息成功進駐后還會自行刪除，堪稱“安卓漏洞之王”。盡管目前無跡象顯示有任何駭客從中獲利，但已讓全球9.5億安卓手機用戶處于險境。

Zimperium四月發現問題后，已在當月九日即刻告加谷歌公司，并提供相關補丁;谷歌也在兩天內迅速轉達相關資訊予各伙伴公司，并更新其原生安卓手機“Nexus”。

Zimperium指出，上述漏洞位于可自動預載多媒體訊息（MMS）影音的安卓多媒體框架“Stagefright”，安卓2.2以上版本都有被駭風險，大約是95%的安卓手機。此漏洞極度危險之處在于，它不須用戶打開任何文件或連結，即可入侵手機并進行后續遠端秘密監控及竊取資訊。若有使用谷歌開發的即時通訊服務“Hangouts”，就算不開啟程式，駭客都能得手。

此漏洞發現至今已超過110天，Zimperium估計只有二至五成安卓用戶獲得更新。依資訊業慣例，發現漏洞并通報后，開發商應于九十天內解決問題，之后問題應公諸于世，以便使用者了解風險。

惡意軟件的99%針對安卓

安卓手機市場占有率約八成，全球用戶逾十億，因此成為惡意軟件的首要目標。防毒軟件公司“F-Secure”今年第一季數據顯示，99%手機惡意軟件設定攻擊采用安卓系統的移動置。

（選自臺灣2015年7月29日《自由時報》）