Android系统两大漏洞曝光：影响超10亿台设备

安全研究人士周四披露了谷歌Android移动操作系统的两大严重漏洞，这些漏洞令超过10亿台Android设备面临被黑的风险。

研究人士称，这意味着“几乎每台Android设备”都会受到影响，无论其所搭载的是1.0版本Android系统还是最新的5.0版本。

黑客可利用这些漏洞欺骗用户访问含有恶意MP3或MP4文件的网站，一旦用户预览被感染的多媒体文件(通常以音乐或视频方式出现)，则其 Android设备就会迅速被黑。这种被黑风险所涉及的问题是Android处理多媒体文件元数据的方式，该系统通过名为“Stagefright”的媒 体播放引擎来对这种数据进行处理。

这并非安全研究人士首次发现这一部分的Android代码存在重大被黑风险。今年早些时候，发现了上述漏洞的移动安全公司Zimperium zLabs披露了一系列的7个Stragefright漏洞，这些漏洞可能令黑客仅通过一条被感染的多媒体文本信息就黑掉最多9.5亿台Android设 备。

跟这7个漏洞一样，最新的这两个漏洞(研究人员将其称为“Stagefright 2.0”)也可令黑客控制被黑的设备，取得对其数据、照片、摄像头和麦克风的准入权。整体而言，这两个漏洞所带来的新问题更加广泛，原因是影响的设备更多。

第一个新漏洞被称为“CVE-2015-6602”，这个漏洞影响到了从2008年第一代Android操作系统推出以来所发布的几乎所有 Android设备。第二个新漏洞则被称为“CVE-2015-3876”，影响到了搭载5.0版本Android及以上版本系统的设备，并使得上述问题 更易触发。

在接受《财富》杂志采访时，Zimperium zLabs创始人及董事长苏克·亚伯拉罕(Zuk Avraham)并未提供特定的信息，目的是避免有人利用这些新漏洞。但他将这两个新漏洞与第一代Stagefright漏洞进行了比较：“这些漏洞一样 是那么严重，会带来相同的损害。”

原文发布时间为：2015-10-04

本文来自云栖社区合作伙伴至顶网，了解相关信息可以关注至顶网。

Android 反序列化漏洞攻防史话 Java 在历史上出现过许多反序列化的漏洞，但大部分出自 J2EE 的组件。即便是 FastJSON 这种漏洞，似乎也很少看到在 Android 中被实际的触发和利用。本文即为对历史上曾出现过的 Android Java 反序列化漏洞的分析和研究记录。 序列化和反序列化是指将内存数据结构转换为字节流，通过网络传输或者保存到磁盘，然后再将字节流恢复为内存对象的过程。在 Web 安全领域
这款开源“神器”，可以找出Android设备最底层的Bootloader漏洞 本文讲的是这款开源“神器”，可以找出Android设备最底层的Bootloader漏洞，即使操作系统受到损害，智能手机的Bootloader固件也应该是安全的。但是近日，研究人员在4个主流芯片供应商的代码中发现了7个安全漏洞，这些漏洞会导致手机信任链在引导过程中被攻破，从而使设备遭受攻击。
高通安全执行环境高危漏洞影响全球六成安卓设备 本文讲的是高通安全执行环境高危漏洞影响全球六成安卓设备，高通安全执行环境 (Qualcomm Secure Execution Environment, QSEE) 中的一个关键提权漏洞 (Elevation of Privilege, EOP) 仍影响全世界大约六成的安卓设备。
云栖大讲堂 擅长前端领域，欢迎各位热爱前端的朋友加入我们（ 钉钉群号：23351485）关注【前端那些事儿】云栖号，更多好文持续更新中！