安卓系统再现重大漏洞，如何防范？

VICE的一篇报道证实，Zimperium zLabs的研究者Joshua Drake在Android操作系统中发现Stagefright 2.0漏洞。这一漏洞包含两个bug，可通过MP3音频及MP4视频，植入来自攻击者的恶意代码。Stagefright 2.0可以影响14亿Android系统用户，但值得庆幸的是，目前暂未发现黑客利用它发起攻击。

这已不是Stagefright的第一个漏洞Stagefright本身并不是一种漏洞，而是Android操作系统的核心组成框架之一，主要用来处理、播放和记录多媒体文件。因为Stagefright框架可以处理操作系统接收的任何媒体文件，所以也给黑客提供了多种侵入用户手机的方法。

在今年7月份，Joshua Drake就已经在Stagefright框架中发现了该漏洞的第一个版本，不过它的工作原理与Stagefright 2.0版本漏洞不同，我们也曾进行报道：

它的厉害之处在于，黑客只需要知道你的手机号码，发一条彩信就可以入侵用户的手机，在远端执行代码读取、控制你手机中的内容，甚至不需要你去打开这条彩信。

不过在8月15日，Stagefright 1.0漏洞就被提交至Google，在被发现不久之后就已经修复。

除了多媒体文件以外，黑客还可以借助Stagefright 2.0的另一个渠道入侵他人手机：当黑客与攻击目标身处同一个WiFi网络当中（比如咖啡店的公共WiFi），可以将恶意代码经由未加密网络植入受害者手机，省去了诱导用户打开特定多媒体文件的步骤，也可以在完全隐蔽的情况下进行攻击。

手机厂商如何应对？基于安全考虑，Zimperium并没有公布更多Stagefright 2.0漏洞的技术细节，不过已经将其上报至Google。Google发言人表示，他们将在10月5日向Nexus手机用户推送更新，封堵漏洞。刚刚发布的Nexus 5X和Nexus 6P手机出厂时预装Stagefright 2.0补丁。

微博用户Zackbuks今早发布消息称索尼已经推送了23.4.A.1.232版本固件，升级后经过Stagefright Detector检测，可以有效避免受到漏洞影响。