別騙我 | 一張圖片如何毀掉所有的安卓設備？

你在用安卓智能機嗎？那你必須要知道這件事了：社交網路上一個看似無公害的圖片或者消息應用都可能致使安卓手機崩潰。

n除了感染了9億台設備的Quadraooter 漏洞之外，谷歌還修補了一個之前未被發現嚴重漏洞。攻擊者可以將它嵌入進一張看似無公害的照片中，然後通過社交媒體或者聊天軟體進行傳播，從而開展他們的攻擊活動。

事實上，受害者都不必去點擊這些有害的照片。只要這些照片發送到了受害者手機里，其中的惡意程序就會神不知鬼不覺地讓攻擊者能夠遠程地操作或者毀掉這些設備。

這一漏洞類似於去年的Stagefright漏洞，攻擊者可以利用簡單的簡訊悄悄地攻擊安卓設備而不被用戶發現。

Stagefright漏洞曾感染超過9.5億台安卓設備，並且這一漏洞存在於安卓核心程序stagefright中。Stagefright是一個多媒體庫，用於存儲和處理安卓系統中的多媒體文件。

但是，最近來自SeninelOne的安全研究員TimStrazzerez在安卓應用發現了一個漏洞(CVE-2016-3862)，它存在於解析圖片Exif數據過程中。所有使用安卓Java object ExifInterface代碼的應用都有可能受該漏洞的影響。

只要受害者在受感染的應用（例如Gchat和Gmail）中打開了這種圖片，那麼黑客就可以遠程摧毀受害者設備或者遠程執行惡意代碼，從而將惡意軟體植入受害者設備，控制受害者設備。並且整個過程，受害者都不會察覺。

「因為漏洞的觸發不需要太多的用戶交互作用，應用程序只需以一個特殊的方式載入圖片即可，觸發該漏洞就像接收信息或者郵件那麼簡單。當應用程序嘗試解析圖片時，漏洞就會被觸發。」Strazzere說道。n

根據Strazzere的說法，攻擊者僅僅需要在圖片中植入一個很簡單的漏洞利用程序就能攻擊到大量的安卓設備。

Strazzere製作了一個漏洞利用程序，測試了受影響的設備，並且發現這一漏洞在Gchat，Gmail以及很多其他消息和社交媒體軟體上是有效的，然而他並沒有透露被這一漏洞影響的其他非谷歌應用程序的名字。

所有的谷歌操作系統，包括從安卓4.4.4版本到6.0.1 版本都會受到該漏洞的影響，希望本周的安全更新能夠修復這一問題。

研究人員甚至成功地測試到，安卓4.2系統和亞馬遜設備也受該漏洞的影響，並且也未被修復。所以，如果你的設備沒有更新到新版本的操作系統，那你很可能會受到該漏洞的影響。

谷歌已經使用了一些補丁來修復這一問題，但是就手機製造商和運營者發布的安全補丁的惡劣歷史來看，不知道要經過多久安卓手機的漏洞才能發布出來。

註：本文參考來源於thehacknews

推薦閱讀：