在研究人员找到一种新的方式以利用以前由Google修补的较旧漏洞的新方法,数百万台Android设备尚未出现风险。
基于以色列的赫兹利亚的北向北发表了一篇概述了隐喻,这是一个绰号,他们在StandFright,Android的MediaServer和多媒体库中找到了一个新的弱点。
北北人表示,该攻击对运行Android版本2.2至5.0和5.1的设备有效。
该公司表示,它的攻击在谷歌的Nexus 5中最适用于股票ROM,并为HTC的一个,LG的G3和三星的S5进行了一些修改。
该攻击是为CVE-2015-3864开发的其他开发的攻击,这是一个远程代码执行漏洞修补了两次通过谷歌。
安全公司Zimperium发现了原始的平行发廊2015年初的缺陷,影响了数百万设备。谷歌已经不得不多次发出补丁和修复研究人员继续找到的STAINFRIGHT的问题。
Zuk Avraham,CTO和Zimperium的创始人通过电子邮件发送了他的公司扣除了第二次利用它为StageFright而开发的,由于它提出的风险以及仍然受到影响的大量设备。
但是,Northbit的研究论文“为专业黑客团体提供了足够的细节,以完成充分的工作和可靠的利润,”他说。
Northbit发布了一个成功攻击的视频,这需要一些社会工程。必须欺骗受害者单击一个链接,然后在漏洞运行时留在该网页上。爆炸性可以在几秒钟内需要花费几秒钟即可完成其工作。
在视频是使用Nexus 6的受害者,打开一个通往猫照片的链接,而北通显示漏洞。
在Android版本5.0和5.1上,漏洞利用将绕过ASLR(地址空间布局随机化),旨在使利用更加困难。
北向北估计约235,000,000个Android设备运行版本5.0和5.1,大约40,000,000台设备运行了一些2.x版本的Android,没有ASLR。
“看着这些数字,很难理解有多少设备可能脆弱,”北北平书写道。
部分是为了响应StepFight构成的危险,谷歌在八月表示,它将转移到每月修补计划,并与主要的Android供应商更接近,以确保更新修补。
谷歌可能会很快发出补丁,在电子邮件中写下Veracode的Research副总裁Chris Eng。但是StageFight补丁的分布已经存在。
“修补应用程序漏洞对Android社区具有不同的制造商和运营商的数量尤其具有挑战性,因此负责向设备发出补丁的责任,”eng说。
谷歌无法立即达成评论。
(CSO的Steve Ragan为此报告做出了贡献。)