Android的末日？致命漏洞Stagefright攻击代码发布

今年4月份，以色列移动信息安全公司Zimperium研究人员Joshua Drake在Android系统核心多媒体框架Stagefright中发现了多处漏洞，影响当前约95%的Android设备。通过这个漏洞，黑客只需简单的一条彩信就可能完全控制用户手机。

由于攻击面巨大且攻击手段简单有效，Stagefright被公认是Android史上最恐怖的安全漏洞。

今年7月底，Zimperium公开报告了这个极为致命的漏洞，引发全球移动产业和Android用户的恐慌，Google、运营商以及手机制造商们手忙脚乱地向全球数以亿计的Android用户发送补丁。

虽然Google及其合作伙伴极力请求Zimperium延迟发布Stagefright漏洞的攻击验证代码，但是本周三Zimperium还是毅然决然地发布了一段能够攻击CVE-2015-1538漏洞的Python脚本。攻击者可以利用这段代码劫持用户的Android手机进行拍照和窃听，但是无法攻击版本为5.0或更高版本的Android系统。（目前5.0及以上版本的Android设备只占总体数量的18%左右，关于Android版本数量统计请点击这里查看）

针对外界对Google修补Stagefright漏洞不利的各种指责，Google近日也呼吁Android产业链将补丁更新周期缩短到30天，这也是苹果、微软和Adobe等公司早就执行的的行业标准周期。Google决定身先士卒，为Nexus品牌Android手机推出每月更新安全补丁的服务。三星和LG公司也相应号召推出类似的针对三星手机的补丁更新项目。

但是由于Android的碎片化，每个厂商和运营商都需要开发自己的Stagefright漏洞补丁，而不同厂商的技术实力和安全策略也不尽相同，因此整个Android生态的版本同步和补丁更新周期的提升注定不会一蹴而就，这意味着黑客们还有足够长的时间窗口来利用Zimperium公开的攻击代码。