許多網友都是用的安卓手機，它可以說是目前全球手機應用中最廣泛的移動操作系統之一。可是，最近這個操作系統有點“鬧心”。不僅以色列一家網絡安全公司發現了安卓系統的致命漏洞，並且還有一些軟件存在惡意"吸費"、強行捆綁等問題，親們趕緊來看一看，不要讓你的手機“立於圍牆之下”。

　　一條彩信就可“黑”掉手機

　　“黑客”只需知道用戶手機號碼，便可通過發送彩信的方式遠程執行惡意代碼。具體而言，用戶接收彩信後便會通過瀏覽器下載一個特製媒體文件，黑客就可以發動攻擊。最可怕的是，“黑客”可以在用戶完全不打開或閱讀彩信的情況下入侵手機，甚至趕在用戶看到這條彩信前將其刪除，神不知鬼不覺地“黑”掉手機，繼而遠程竊取文件、查收電郵乃至盜取用戶名和銀行賬戶密碼等信息，而用戶對這一切全然不知。

　　目前，谷歌將補丁程序提供給了部分合作夥伴廠商。但是對於國內的Android手機來說，幾乎都無法獲得Google的補丁推送，只能等待手機廠商推送更新，這需要耗費很長的時間，用戶的手機將受到很大威脅。

　　微信收到圖片、視頻同樣危險！

　　Stagefright默認會被mediaserver使用，也就是說，如果惡意的視頻文件有機會被mediaserver處理到，該漏洞就有機會觸發。基本上採用了Android的media框架來開發的程序都會受到影響。

　　如果惡意視頻被存放在SD卡中，那麼打開文件管理app，下拉列表到露出視頻，就會觸發該漏洞；如果惡意視頻在SD卡，或者download目錄中，點擊本地圖片會出現縮略圖，這時候也會觸發漏洞；微信同樣受到影響，通過微信發送惡意視頻，點擊也會導致media server崩潰，收到惡意視頻即使用戶不點擊，之後在微信中發送圖片時，也會觸發該漏洞；開機同樣是一個觸發點，mediaprovider會掃描SD卡里的所有文件，並且嘗試去解析。

　　安卓4.1前的系統風險更高

　　特別需要注意的是，Android 4.1以前的系統(大約11%)由於缺少漏洞利用緩解措施，容易收到此類漏洞的利用，Android從4.1開始引入漏洞利用緩解措施ASLR(地址空間佈局隨機化)，ASLR極大增加了內存破壞類漏洞利用的難度。

　　某手機安全中心保守估計Android 4.1以下的系統可以利用這些漏洞來無交互的執行任意代碼(攻擊方法是向被攻擊者發生多媒體短信)。

　　建議

　　就目前的補丁內容分析，危險是存在的，但是距離真實攻擊還有不少問題要解決，比如繞過ASLR就是很大問題。在發佈官方補丁之前，禁用“自動接收彩信”功能可以防止手機自動執行潛入在惡意媒體文件之中的惡意代碼。

　　關閉這個功能並不能完全修復這個漏洞。只要這個漏洞還存在，你的手機就是不安全的，如果你的手機下載了帶有惡意代碼的媒體文件，那麼你的手機就有更危險。目前，國內的大廠商已經收到了谷歌的補丁，預計會很快發佈修補，手機用戶可以及時更新系統來確保手機安全。

　　除此之外，近日還被曝出，近80款手機軟件惡意"吸費"、強行捆綁！親們，這可得注意啦！

　　28日公佈的電信服務質量通告顯示：二季度，工業和信息化部組織對40餘家手機應用商店的應用軟件進行技術檢測，發現存在問題的應用軟件80款，涉及違規收集用戶個人信息、惡意“吸費”、軟件自動發送短信、強行捆綁推廣其他無關應用軟件等問題(詳見下表)。

2015年二季度檢測發現問題的應用軟件名單

　　……

　　想要閱讀全部內容，掃一掃下面的二維碼，關注北方網官方微信。