安卓手機(jī)系統(tǒng)一向安全問題多多。近日，以色列移動信息安全公司Zimperium研究人員約舒亞·德雷克（Joshua Drake）在安卓系統(tǒng)的核心組成部分Stagefright中發(fā)現(xiàn)了一處安全漏洞，影響當(dāng)前約95%的安卓設(shè)備。只需簡單的一條彩信，黑客就可能完全控制用戶手機(jī)。

據(jù)了解，該漏洞存在于“Stagefright”中。Stagefright是 一個(gè)安卓代碼庫，處理集中廣泛使用的媒體格式。該漏洞的可怕之處在于，用戶根本不需要采取任何行動就會中招。這個(gè)漏洞在用戶睡著的時(shí)候就可觸發(fā)，用戶一覺 醒來之后不會發(fā)生任何異常，攻擊者會刪除掉設(shè)備被攻陷的任何痕跡，然后用戶就會像平常一樣過日子——只不過手中的手機(jī)變成了一部木馬手機(jī)。

目前，谷歌已經(jīng)發(fā)表聲明承認(rèn)了上述漏洞的存在，并將漏洞補(bǔ)丁提供了部分合作伙伴設(shè)備廠商。但遺憾的是，德雷克預(yù)計(jì)，由于安卓更新較慢，當(dāng)前超過95%的安卓設(shè)備依然受Stagefright漏洞的影響。即使在谷歌自家的Nexus系類設(shè)備中，目前也只有Nexus6接收到了部分補(bǔ)丁。

德雷克透露，這個(gè)漏洞還可通過其它技術(shù)手段利用，包括誘騙用戶訪問惡意站點(diǎn)等。德雷克將計(jì)劃在下月舉行的黑帽大會（BlackHat Security Conference）上以“Stagefright：安卓心臟中的恐怖代碼”為題公布另外六種技術(shù)手段。

事實(shí)上，隨著安卓成為全球最流行的移動操作系統(tǒng)，黑客和安全人員也日益將關(guān)注重點(diǎn)放在安卓上，企圖為用戶帶來更加安全的系統(tǒng)。即將舉行的黑帽大會上，除了德雷克的議題之外，來自360手機(jī)衛(wèi)士安全研究團(tuán)隊(duì)也有兩個(gè)安卓相關(guān)議題入選，分別是“TrustZone安全攻防”和“通過挖掘Android系統(tǒng)服務(wù)漏洞提權(quán)”。

360手機(jī)衛(wèi)士安全研究團(tuán)隊(duì)的申迪將向全球黑客介紹有關(guān)Android系統(tǒng)TrustZone安全攻防的研究成果，并且現(xiàn)場演示從傳感器中讀取指紋識別數(shù)據(jù)的攻擊利用，這指紋識別正在成為手機(jī)的一個(gè)熱門安全配置。

而360手機(jī)衛(wèi)士安全研究團(tuán)隊(duì)的龔廣則會介紹如何利用Android中最為薄弱的系統(tǒng)服務(wù)做突破口，使用自己發(fā)現(xiàn)的漏洞來獲得Android系統(tǒng)服務(wù)權(quán)限，龔廣已經(jīng)發(fā)現(xiàn)了8個(gè)類似的Android系統(tǒng)漏洞以及數(shù)十個(gè)系統(tǒng)服務(wù)崩潰，發(fā)現(xiàn)的8個(gè)漏洞都已提交給Google，并獲得其承認(rèn)與獨(dú)有的CVE號。