在星期三,谷歌及其安卓合作伙伴开始修复漏洞,当用户发送一个字节出现错误短信或被引诱进入到到恶意网站时,该漏洞可能会导致数以百万计的手机执行恶意代码。
该漏洞在安卓代码库中被称为Stagefright,Stagefright漏洞是在上周被披露出来的,但是这距离安全研究人员私下报告给负责谷歌安卓操作系统工程师已经有好几个月了。相应地,谷歌的工程师已经安卓短信应用程序--Messenger做出了修改。该变化减少了通过要求用户在播放视频前首先进行点击而造成的威胁。
万一漏洞细节彻底被披露出来,谷歌也非没有应对措施,谷歌已经开始向Nexus设备推出新版应用程序及其他未经指定的安全保护措施,并会在当天晚一些的时候在开放源码中发布。谷歌已经将补丁发给了硬件合作伙伴并根据AndroidPolice 新闻 网报道,Sprint和三星都已经着手推出更新了。涉及更新的手机包括Nexus5和Nexus6,GalaxyS5、S6、S6引擎,以及三星NoteEdge,HTCOneM7、OneM8、OneM9;LGElectronicsG2、G3、G4;索尼XperiaZ2,XperiaXperiaZ3,XperiaZ4,XperiaZ3Compact和AndroidOne。
谷歌还宣布改变其对Nexus设备的安全更新方式。从星期三开始,Nexus设备每个月都将得到定时安全更新。该种更新推送将面向Nexus4、Nexus5、Nexus6、Nexus7、Nexus9、Nexus10和NexusPlayer,跟新内容包括修复上述设备中libStageFright漏洞。据报道,三星已经对由其销售的安卓手机采取了新的更新程序。
星期三在在拉斯维加斯举行的黑帽大会上,谷歌的安卓安全工程师AdrianLudwig说道,发现了Stagefright漏洞的研究人员夸大了这个漏洞对现实用户的威胁。超过90%的安卓手机中有一个被称为“地址空间布局随机化”的安全措施,其目的是大幅减少攻击者利用漏洞造成的伤害。他还说到,只有不到0.15%的专门从GooglePlay市场下载安装应用程序的安卓设备安装了带有某种潜在的有害应用程序。
由于该漏洞的严重性和易受攻击的手机的数量,这已经反复要求谷歌升级其安全更新方式。多年来,许多流行的手机很少(如果有的话)进行更新。明确星期三宣布的更新是否会解决这个问题还为时过早,但很多生产厂家及模板认为星期三推出的Stagefright漏洞的补丁是一个充满希望的征兆。