谷歌(微博)日前發(fā)布了一系列安卓操作系統(tǒng)的補(bǔ)丁，覆蓋了之前所提到的眾多漏洞，其中就包括名為Quadrooter的影響著9億手機(jī)用戶的一個(gè)漏洞。

現(xiàn)在大家都在迫不及待的去安裝這些補(bǔ)丁，因?yàn)檫@些系統(tǒng)補(bǔ)丁不僅覆蓋了之前所提到的一系列漏洞，與此同時(shí)，一些之前沒有被提過的漏洞也得到了很好的修復(fù)，比如之前沒有提到過的一個(gè)基于圖片文件的系統(tǒng)漏洞。

在這個(gè)漏洞中，黑客可以隱藏在社交媒體或通信類的應(yīng)用程序中看似無害的照片中，而受害者甚至根本不需要點(diǎn)開這些圖片，只要手機(jī)對(duì)這些圖片數(shù)據(jù)進(jìn)行一個(gè)解析，黑客攻擊者就可以輕而易舉的控制這部手機(jī)或者是使其變成所謂的“板磚”。

根據(jù)發(fā)現(xiàn)這些漏洞的研究人員表示，這些漏洞主要是利用一些固定的安卓應(yīng)用程序中的圖片文件數(shù)據(jù)進(jìn)行攻擊，因?yàn)檫@些應(yīng)用程序會(huì)自動(dòng)對(duì)圖片的Exif數(shù)據(jù)進(jìn)一個(gè)解析，而黑客攻擊者就是在這個(gè)解析的過程中來攻擊我們的手機(jī)的。

安全廠商SentinelOne的負(fù)責(zé)人Tim Strazzere說：“任何一個(gè)應(yīng)用程序都會(huì)使用到一部分的安卓代碼--- the Java object ExifInterface，而這個(gè)代碼似乎卻并沒有想象中的那么安全。”

蒂姆還公開表示說：“只要有一個(gè)用戶打開了這些受影響的應(yīng)用程序(例如，Gchat或者Gmail之類的聊天應(yīng)用程序)中的圖片文件，黑客攻擊者們立刻就可以獲得相關(guān)的數(shù)據(jù)，使得手機(jī)系統(tǒng)崩潰或者獲得一個(gè)‘遠(yuǎn)程執(zhí)行代碼’，因此，這些黑客攻擊者可以輕而易舉的將受他們控制的惡意軟件安裝在用戶的手機(jī)設(shè)備上，在用戶毫不知情的情況下控制其手機(jī)。”

蒂姆還聲稱：“現(xiàn)在，問題變得越來越嚴(yán)重，因?yàn)樽鳛槭芎φ撸踔粮臼裁炊疾恍枰?，黑客攻擊者就可以輕而易舉的對(duì)其手機(jī)設(shè)備進(jìn)行控制。這個(gè)漏洞產(chǎn)生至今，并沒有很多用戶對(duì)其進(jìn)行反饋，因?yàn)榇蠖鄶?shù)手機(jī)用戶甚至根本沒有發(fā)現(xiàn)這個(gè)漏洞。因?yàn)槭謾C(jī)用戶可能只是正常的在一個(gè)應(yīng)用程序中加載了一張圖片，黑客攻擊者就輕松的接管他們的手機(jī)。更可怕的是，這個(gè)漏洞的觸發(fā)非常非常簡單，甚至只要手機(jī)用戶接收一條信息或者一封郵件就可以輕松觸發(fā)它，因?yàn)橐坏?yīng)用程序試圖解析一個(gè)圖片文件的數(shù)據(jù)(當(dāng)然，這個(gè)過程通常都是手機(jī)自動(dòng)完成的)，那么，很遺憾，這個(gè)漏洞就已經(jīng)被觸發(fā)了，而且，很可能使手機(jī)用戶的手機(jī)系統(tǒng)崩潰。”

技術(shù)研究人員表示：“從理論上講，人們可以在圖像中創(chuàng)建一個(gè)通用的漏洞，利用這個(gè)漏洞來控制利用大量的手機(jī)設(shè)備，但是由于我技術(shù)水平的限制，我不得不一個(gè)設(shè)備一個(gè)設(shè)備的來制作，并根據(jù)不同設(shè)備的特點(diǎn)來個(gè)性化制作。一旦完成了這項(xiàng)工作，類似一些Gchat,、Gmail等應(yīng)用程序以及一些其他的通信、社交媒體相關(guān)的應(yīng)用程序都會(huì)允許這個(gè)這個(gè)漏洞的存在、觸發(fā)等。”

技術(shù)人員并不愿意透露一些已經(jīng)受到影響的應(yīng)用程序的具體名單，但是其表示，除了一些具有“隱私敏感”類工具之外的非谷歌應(yīng)用程序都會(huì)受到影響。

在今天谷歌對(duì)其4.4.4操作系統(tǒng)中所有的版本進(jìn)行補(bǔ)丁更新之前，舊版的安卓設(shè)備操作系統(tǒng)在基于圖像文件的漏洞問題方面似乎存在著更大的安全隱患。

蒂姆說：“由于漏洞的不斷更新與增加，使得我的工作陷入了一個(gè)巨大的困難，而這些不斷更新與增加的漏洞，使得手機(jī)設(shè)備更容易崩潰甚至進(jìn)入無限關(guān)機(jī)重啟的循環(huán)中，然而在這個(gè)過程中很多手機(jī)用戶甚至根本不知道手機(jī)變‘板磚‘的原因只是因?yàn)樗邮樟艘粋€(gè)遭到破壞的圖片或者郵件。”

如今，蒂姆已經(jīng)將他的產(chǎn)品在安卓4.2操作系統(tǒng)以及一些亞馬遜設(shè)備上進(jìn)行了在線測評(píng)，這些設(shè)備依舊會(huì)保留一些沒有得到修復(fù)的漏洞，如果你使用的不是最新版本的手機(jī)操作系統(tǒng)，出于安全的考慮，建議你是時(shí)候?qū)⑴f版操作系統(tǒng)更新到最新版本了。

谷歌日前給了蒂姆4千美金，作為其在彌補(bǔ)安卓漏洞方面的貢獻(xiàn)。

與此同時(shí)，安卓制造商的合作伙伴針對(duì)蒂姆在8月5號(hào)之前所發(fā)現(xiàn)的這些漏洞提出了建議：如果你的手機(jī)與這些漏洞相關(guān)，請(qǐng)聯(lián)系你的手機(jī)制造商，檢查操作系統(tǒng)可以進(jìn)行更新的具體時(shí)間，將手機(jī)進(jìn)行更新，而運(yùn)行4.4.4以及4.4.4版本以上操作系統(tǒng)的谷歌Nexus手機(jī)的用戶，將會(huì)在今天晚些時(shí)候收到一個(gè)操作系統(tǒng)更新通知，請(qǐng)自行將手機(jī)操作系統(tǒng)進(jìn)行更新。