移动叔叔

标题: M6752 5.1安全漏洞补丁Stagefright [打印本页]

作者: helnandez 时间: 2015-9-14 09:52
标题: M6752 5.1安全漏洞补丁Stagefright
本帖最后由 helnandez 于 2015-10-13 23:48 编辑

XDA转帖
如果你是5.1的cpu是6752的手机，最好刷这个安全漏洞补丁

原帖xda-developers.com/stagefright-explained-the-exploit-that-changed-android/
[attach]678564[/attach]
搬运百度云

Stage Fright 介绍

腾讯科技讯 7月27日，以色列移动信息安全公司Zimperium研究人员约舒亚·德雷克(JoshuaDrake)在Android系统中发现了多处安全漏洞，影响当前约95%的Android设备。只需简单的一条彩信，黑客就可能完全控制用户手机。

德雷克在Android平台的核心组成部分Stagefright中发现了多处漏洞，Stagefright主要用来处理、播放和记录多媒体文件。其中一些漏洞允许黑客远程执行恶意代码，只需用户接收一条彩信(MMS)，通过浏览器下载一个特定视频文件，或者打开一个嵌入多媒体内容的网页，黑客就可以发动攻击。

德雷克还称，在其他许多情况下，黑客也可能对用户发动攻击，因为只要Android平台接收到任何来源的媒体文件，都要通过Stagefright框架来处理。

Stagefright不只是用来播放媒体文件的，还能自动产生缩略图(thumbnail)，或者从视频或音频文件中抽取元数据，如长度、高度、宽度、帧频、频道和其他类似信息。

这意味着无需用户执行一些恶意多媒体文件，只要复制这些文件，黑客即可利用Stagefright漏洞发动攻击。

德雷克不确定有多少应用依赖于Stagefright，但他认为，任何一款应用，只要处理Android上的媒体文件，就需要以某种方式来利用Stagefright。

在所有攻击途径中，彩信是最危险的，因为它不需要用户的任何互动，只需手机接受一条恶意信息即可。

德雷克称，例如，用户在睡觉时把手机静音，黑客就可以发送一条恶意彩信。黑客利用该彩信发动攻击后，还可以将这条彩信删除，这样用户就永远也不会知道自己的手机被入侵。

德雷克不仅发现了存在于Stagefright中的这些漏洞，还开发了必要的补丁程序，并于今年4月和5月初提供给了谷歌(微博)。德雷克称，谷歌对该问题十分重视，在48小时内就将该补丁应用到谷歌内部的Android代码库中。

在通过Android开源项目(AOSP)发布之前，谷歌已经提前将该补丁提供了部分合作伙伴设备厂商。但遗憾的是，德雷克预计，由于Android更新较慢，当前超过95%的Android设备依然受Stagefright漏洞的影响。即使在谷歌自家的Nexus系类设备中，目前也只有Nexus6接收到了部分补丁。

通过OTA更新，Android补丁到达终端用户手中往往需要几个月时间。因为厂商首先要把谷歌的代码置入自己的代码库中，然后为自己的各种型号设备建立新的固件版本，测试后再与移动运营商合作来发布更新。而且，如果设备超过18个月就彻底停止接收更新，因此对于新发现的安全漏洞毫无抵抗之力。

德雷克发现的这些安全漏洞影响Android2.2及以上版本，这意味着有大量设备将永远无法接收到这些补丁。德雷克预计，在当前使用中的Android设备中，最终将只有20%至50%的设备能够接收到补丁程序。德雷克还称，50%是一个理想的目标，如果真的达到50%，那将是令人吃惊的。

对此，谷歌在一封电子邮件声明中对德雷克的贡献表示感谢，并证实这些补丁已经提供给合作伙伴。谷歌还称：“大部分Android设备，包括所有新设备，都拥有多项技术让黑客的入侵变得更困难。另外，Android设备还包含一款‘沙箱’应用，用来保护用户数据和设备上的其他应用。”

在这些漏洞被利用后，黑客能在用户设备上执行的操作会有所不同，这主要取决于Stagefright框架的优先级别。整体而言，用户可以访问设备的麦克风、摄像头、外部存储分区，但不会安装应用或访问设备的内部数据。德雷克称，如果Stagefright拥有系统级权限(根权限)，那么在受影响的设备中，预计有50%会被黑客完全控制。

由于这些补丁尚未通过AOSP项目发布，意味着非谷歌合作伙伴尚未得到补丁程序。此外，CyanogenMod等第三方AOSP固件也可能受到影响。据悉，德雷克私下已将这些补丁提供给部分受影响的第三方，如Silent Circle和Mozilla等。

Android、Windows和Mac版Mozilla Firefox，以及FirefoxOS均受这些漏洞影响，因为它们都使用了Stagefright框架。据悉，Mozilla今年5月已修复了Firefox 38。

德雷克计划在8月5日的黑帽安全大会(Black Hat Security Conference)上提供更多相信信息。(谭燃)

以下是翻译：
Stagefright解释：利用这一点改变Android的一款使用Android操作系统的最强点也主要是它的开源特性，它允许机主派生，修改和重新发布的OS按照最适合其特定需求的方式。但是，作为开源这个非常有优势的作用就像一个双刃剑，当涉及到恶意软件和安全问题。这是比较容易发现和修补漏洞，当你有很多有能力的贡献者上一个项目，其源代码可以自由。然而，在源代码级固定问题不经常翻译成问题被固定在最终消费者手中。因此，Android是不是首要的选择，当谈到选择一个OS数据敏感型企业的需求。在谷歌I / O 2014年，谷歌给了它的第一个推向一起推出了Android的工作程序更安全和企业友好的生态系统。 Android的工作采取了双轮廓的方法对企业的需求，因此IT管理员可以为员工创造一个不同的用户配置文件 - 一个专注于工作，为员工个人使用而保留其他的配置文件。通过使用基于硬件的加密和管理员管理的政策，工作和个人数据仍然显着，安全。随后，Android的工作获得了更多的关注，在随后几个月，具有较大的重点是打击恶意软件的设备的安全性。谷歌还计划实现完整的设备加密，那名被释放与Android棒棒糖开箱即用的所有设备，但这是由于报废性能问题正在选购移动OEM厂商来实现。推一个安全的Android是不是完全谷歌的工作，三星通过以AOSP的诺克斯贡献，最终加强了Android的工作起到了这个相当显著的作用。然而，最近的安全漏洞和Android的一点漏洞，一项艰巨的任务，当谈到普及企业采用。典型的例子是近期Stagefright漏洞。

作者: Lwh183731916 时间: 2016-1-1 16:04
666666

作者: 风中的小草 时间: 2016-1-1 20:31
哈哈哈哈

作者: mark9999 时间: 2016-1-7 22:34
看看!!!!!!!!

作者: PV-001 时间: 2016-1-8 10:57
THANK YOU VERY MUCH

作者: SIMON888 时间: 2016-1-8 18:32

支持～支持～

作者: go372837 时间: 2016-1-11 15:20
M6752 5.1安全漏洞补丁Stagefright

作者: qgq呵呵 时间: 2016-1-19 23:11
呵呵哈哈哈

作者: 28662106 时间: 2016-1-21 12:38
十分感谢~~

作者: yy4236122 时间: 2016-2-4 14:28
感谢楼主分享！！

作者: W760238677 时间: 2016-2-4 14:57
支持支持一下

作者: myie33 时间: 2016-2-4 16:21
M6752 5.1安全漏洞补丁Stagefright

作者: 辞旧 时间: 2016-2-5 12:45
看看！！！

作者: 789520520520 时间: 2016-2-10 13:05
44444444444444

作者: hua329 时间: 2016-2-10 18:41

作者: scumbook 时间: 2016-2-11 10:15
看看看

作者: li45355157 时间: 2016-2-14 22:09
加油加油加油加油加油

作者: 1913939012 时间: 2016-2-15 07:47
谢谢分享

作者: 一切随风最帅 时间: 2016-2-18 15:02
谢楼主分享

作者: 1587318718 时间: 2016-2-19 04:15
移动叔叔. 版权所有

作者: lxlsg 时间: 2016-2-29 17:34
支持楼主

作者: 没连起 时间: 2016-2-29 17:55
tyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyrrrrrrrrrrrrrrrrrrrrrrrrrrrrrr

作者: 213q213 时间: 2016-3-1 10:23
绝世好文，不得不顶

作者: 无情丿丨 时间: 2016-3-1 16:32
很牛逼的样子，很危险的样子

作者: tigertie 时间: 2016-3-1 22:27
M6752 5.1安全漏洞补丁Stagefright

作者: lixinlei 时间: 2016-3-3 13:23
支持楼主

作者: axitte 时间: 2016-3-9 16:01
thanks for sharing

作者: 斤斤计较今 时间: 2016-3-9 18:28
vvvgvvvfffffff

作者: 475306243 时间: 2016-3-19 13:15
精品资源，强烈推荐！

作者: zhouqr 时间: 2016-3-20 22:08
M6752 5.1安全漏洞补丁Stagefright

作者: 通心粉 时间: 2016-3-22 18:28
支持~~
~~

作者: love冷风 时间: 2016-3-22 22:51
摸摸哦哦弄

作者: 疯狂589 时间: 2016-3-23 23:44
。。。。。。

作者: 123am 时间: 2016-3-24 11:57
支持楼主！！！！！！！

作者: 13580171705 时间: 2016-3-29 06:00
6663366

作者: cbjj2005 时间: 2016-4-4 10:36
bu uo kk

作者: qyworn 时间: 2016-4-13 15:13
好东西，谢谢

作者: xxs_k 时间: 2016-4-15 16:16
感谢楼主的热心分享

作者: hct168 时间: 2016-4-17 06:35
看看。。。。

作者: mintianhuigenha 时间: 2016-5-1 19:37
kankan,kankan

作者: Fan720812 时间: 2016-5-1 19:40
感谢分享

作者: G神秘园 时间: 2016-5-22 00:51

helnandez 发表于 2015-9-14 09:52
XDA转帖
如果你是5.1的cpu是6752的手机，最好刷这个安全漏洞补丁

谢谢分享

作者: q7488556 时间: 2016-5-22 08:36

作者: an001 时间: 2016-6-2 18:41
精品资源，强烈推荐！

作者: 15086914043 时间: 2016-6-3 17:48
hk(fgjjddfh

作者: 湾涂濉 时间: 2016-6-4 17:31
支持一下！！！

作者: dty285767 时间: 2016-6-8 13:07
不错不错支持下

作者: penicillinum 时间: 2016-6-14 21:55

作者: qq1987327880 时间: 2016-6-15 11:08
dddddddddd

作者: dream189 时间: 2016-6-25 11:04
感谢楼主分享

作者: a518518 时间: 2016-6-25 14:27
esdfGuiuhhjko

作者: 003515 时间: 2016-7-17 00:53
henhao 很好！！！！！！！！

作者: woshini大爷 时间: 2016-7-17 01:59
哦,貌似很给力的样子..^..

作者: 晕啊晕 时间: 2016-7-27 20:45
感谢分享

作者: 蓝牙童梦 时间: 2016-7-28 19:04
gu't'f'ku'g在v苦海v空间和v空间和v哦结婚vi和

作者: dshlove1 时间: 2016-7-29 17:58
让k3note能用上wifi 5ghz的补丁 1015亲测支持5.1.1

作者: ty18ty68 时间: 2016-7-31 18:16
吼吼吼吼轰轰轰

作者: 国家国家好 时间: 2016-8-14 15:15
ghjhjhjhjhjjjjh

作者: shop2 时间: 2016-8-15 19:17
谢谢分享

作者: 235573 时间: 2016-8-19 22:27
ggghhfhjfyjcti

作者: llc197926 时间: 2016-9-7 11:49
强烈支持楼主ing……

作者: 一生不败 时间: 2016-9-23 17:05
安全吗

作者: JFm__ 时间: 2016-9-26 13:20
66666666

作者: JFm__ 时间: 2016-9-26 13:21
66666666

作者: JFm__ 时间: 2016-9-26 13:21
666666

作者: 3251035887 时间: 2016-9-28 07:49
好好聚聚推荐

作者: 2733958746 时间: 2016-10-2 09:03
好用吗

作者: vgy12 时间: 2016-10-4 15:20
强烈支持楼主ing……

作者: VItany 时间: 2016-10-5 22:27
thankyou

作者: 3251035887 时间: 2016-10-6 03:41
hvhhhdjrjirnr

作者: lotuszhang 时间: 2016-10-12 05:46
谢谢分享

作者: qlanzx 时间: 2016-10-16 14:09
感谢楼主的热心分享

作者: yx0077 时间: 2016-11-15 15:20

安全漏洞补丁Stagefright

作者: qq2536682223 时间: 2017-2-6 17:16
好像很有用的样子

作者: GJamie 时间: 2017-2-12 19:08
6.0系统是不是不用刷这个了？

作者: thh56479889 时间: 2017-2-23 21:36
感谢分享

作者: lanmengqi 时间: 2017-2-24 08:10
好好好好好好好好好好好好好好好

作者: 有热史蒂夫 时间: 2017-5-23 13:54
赞赞赞楼主好厉害

作者: di8号当铺 时间: 2017-6-22 00:31
怕怕怕怕怕怕怕怕怕怕怕怕怕怕怕怕怕怕怕怕怕怕怕怕怕怕怕

作者: vayben 时间: 2017-6-29 21:40
虽然不用,但还是支持了!!

作者: sd425113630 时间: 2017-7-4 23:38
asdasdsad

作者: adingyd 时间: 2017-7-5 08:39
很强大的样子

作者: 朕的逆子 时间: 2017-7-31 13:02
6752彩信补丁

作者: zgq123 时间: 2017-8-6 13:09

作者: pxmhust 时间: 2017-10-31 13:47
瞧瞧看

作者: pyqq 时间: 2018-1-1 10:35
支持一下分享，

作者: qq7918 时间: 2018-2-22 22:46
谢谢分享！

作者: ooooppgx 时间: 2018-12-7 13:00

感谢分享

作者: 飞鸿zubinh 时间: 2020-1-3 10:20
楼主辛苦了，谢谢楼主，感谢楼主分享，楼主好人一生平安！！！

作者: dellb1h 时间: 2020-1-16 12:01
M6752 5.1安全漏洞补丁Stagefright

欢迎光临移动叔叔 (http://bbs.ydss.cn/)