Android 手機系統不時爆出危險級別為最高級的保安漏洞,近日有黑客利用MMS短訊漏洞極速入侵目標人物手機,並肆意執行任意程式碼來盜取用戶所有存放在手機中的檔案以及資料。香港電腦保安事故協調中心今早發出急緊通知,提醒大家要注意有被入侵的可能。
香港電腦保安事故協調中心(HKCERT)指出這個漏洞為:「Android Stagefright 媒體程式庫遠端執行程式碼漏洞」,遠端攻擊者可透過傳送特製多媒體短訊(MMS)或媒體檔案,利用漏洞在目標系統執行任意程式碼。
HKCERT給予此漏洞的評級為最高一級的「極度危險」,意思是黑客已成功攻陷系統而不需要任何與用戶的互動,在漏洞披露的時候,巳有大量利用此漏洞的攻擊發生。
HKCERT指出,目前已有報導指 Google 已針對漏洞提供修補程式。但由於各裝置廠商會就 OTA 更新作出不同安排,因此 HKCERT 仍判斷為暫時未有修補程式。
該漏洞出現於Android 2.2.x 至 5.1.x,涉及的裝置可達數億部。由於目前Google仍未發佈修正檔,以及一些舊手機裝置一早被手機生產商遺棄,相信並不會再推出修復檔案。因此目前的防範方法只能透過開閉系統的多媒體短息自動接收,或者自動播放等。
以下是來自HKCERT的 臨時解決方案:
- 若你的短信應用程式未有支援上述的選項,請在”設定”下的”SMS”/”多媒體信息”中,關閉”自動擷取”選項。
注意:就上述辦法,以下連結可能提供不同裝置型號的操作步驟:
https://www.twilio.com/blog/2015/07/how-to-protect-your-android-device-from-stagefright-exploit.html
注意:使用以下 3 個方案,有機會令你遺失傳送給你的重要資訊。決定選用任何方案前請先評估風險。
- 阻擋所有不名發送者的短訊。你一般可以在”設定”中啟用此選項。
- 不要開啟不明來歷的 MMS 短訊。
- 移除 Access Point Name(APN)內所有 MMS 相關設定。