(山景城29日讯)安卓(Android)作业系统获全球80%手机采用,是最流行的操作系统,但系统安全存在严重保安漏洞,可以让骇客轻易透过文字讯息入侵,即使用家不打开怀疑有问题的多媒体短讯(MMS),也照样“中招”。传媒形容这是“所有安卓蠕虫之母”,估计会有近10亿部安卓手机受影响。
资讯科技保安公司Zimperium警告,骇客只要知道目标人物的电话号码,再传送含有遥控执行码的多媒体短讯(MMS),便可直接入侵手机,即使用家不打开可疑短讯,手机仍然会受控制,可谓防不胜防。
Zimperium指此次发现的漏洞源于“Stagefright”程式码,它主要处理各种多媒体档案,亦会自动读取MMS的影片附件,原意是减省用家接到短讯后的等候时间,却令不法之徒有机可乘。
由于附件会自动读取,骇客只要在MMS附加含恶意程式码的片段,即可入侵目标手机,无须哄骗用家按下连结或打开附件。
可删资料开镜头
Zimperium作业平台研究部门副主席德雷克指,攻击甚至可来得无影无踪,因为骇客传送MMS后,已能全面控制手机,故他们可即时指示删除讯息,这样用家只会看见MMS通知,却无从得知内容。
假如时间配合理想,整个入侵过程可在深夜完成,用家一觉醒来后可能仍懵然不知,使用已被入侵的手机。
骇客亦能开启应用程式、浏览或删除储存机内的资料,甚至打开麦克风及镜头,窃取政治及商业机密可谓轻而易举,情况比去年在OpenSSL加密系统发现的“Heartbleed”(心脏出血)更严重。
估计安卓2.2版本以上的装置均有被入侵风险,占安卓手机总数约95%,相当于9亿5000部手机,但相信暂未有骇客利用漏洞入侵。
谷歌推更新档
德雷克透露曾于今年4月至5月向谷歌(Google)反映问题,并提供7个更新档,48小时内便获批。然而由于安卓系统更新需由手机生产商负责推送,德雷克估计最多只有一半手机完成更新,呼吁用家向所属装置厂商查询。
谷歌强调重视Android系统保安,已迅速推出更新档,感谢德雷克的贡献,又指安卓仍有其他设定保护用户资料。
手机生产商方面,hTC表示本月初起向所有手机推送更新,会继续有关计划,其他主要厂商则未有消息。