端科技您的位置:首页 >互联网 >

Vertu即将修补噩梦Android bug Stagefright

在首次发现关键Android漏洞两个月后,Vertu将在其智能手机上修补Stagefright。这家高端手机制造商的客户为其手机系列支付了数万英镑的费用,他们承认客户对此漏洞感到担心,但表示由于谷歌发布了错误的补丁,它一直无法修复。

Vertu即将修补噩梦Android bug Stagefright

该漏洞影响了9.5亿Android用户,并且在安全公司Zimperium Research Labs调查了Android开源项目(AOSP--任何开发人员可以使用的免费代码来分配他们自己的移动操作系统版本)时首次曝光。它发现几乎任何拥有Android手机的人都面临风险,黑客只是发送包含可以访问目标数据和应用程序的恶意代码的图片或视频消息。

在最糟糕的情况下,受害者甚至不需要打开远程代码执行的消息来特洛伊木马他们的设备。

Zimperium当时警告:“这种攻击的目标可以是来自总理的任何人,政府。官员,公司高管,IT经理的安全人员。“

根据其云端DevOps架构师Rob Charlton的说法,Vertu手机采用AOSP的“轻量级定制”,但即使如此,创建自己Android版本的供应商也必须调整任何适合其操作系统的补丁。

查尔顿告诉IT专业人士:“我们必须从谷歌和那些人那里获取上游补丁。补丁必须在该链的不同层面上冒泡,谷歌花了很长时间才得到正式版本。

“我们与系统集成合作伙伴合作,帮助管理所有大量软件所需的所有变更,并在我们尽快安全更新时与他们密切合作。”

然而,他补充说,Stagefright是一个更加复杂的补丁推出,此前谷歌在第一个补丁未能解决问题后被迫在8月份发布第二个补丁。

这家科技巨头随后宣称,通过在设备内存的随机部分运行应用程序流程,地址空间布局随机化(ASLR)可以阻止攻击着陆,使得Stagefright更难找到它们,但研究人员发现4%的据“福布斯”报道,每分钟的攻击继续取得成功。

“这是一个错误,然后修复,然后是修复中的错误,然后是另一个修复,然后发现另一个错误,它现在才刚刚解决,”查尔顿说。“我们很难与客户一起管理,然后他们想要解决这个问题,我们必须尝试解释它即将到来,但有并发症。

“这纯粹是因为Stagefright的问题有多严重,它是一个非常广泛的攻击面,突然显示出暴露,因此很多不同的地方需要修补。”

Vertu将很快加入摩托罗拉,谷歌,三星,HTC,华硕和LG作为Android供应商,他们现在修补了这个漏洞,但查尔顿 - 他说没有客户报告任何此类攻击事件 - 没有给出固件更新时间的日期将被推送给客户。

然而,他说:“它会自动出现,所以只要你打开更新它就会出现并且只是自我更新。”

每月补丁

Charlton证实,此事件更加关注Vertu的安全性,该公司可能会加入三星和LG 发布月度安全补丁。

“这可能只是增加了我们更及时地解决这些补丁的决心,”他告诉IT专业人士。“通常[我们每年更新]一次或两次,但不是安全补丁所需的级别。

“明年可能会发生变化,因为我们必须采用谷歌和三星的做法。我认为所有手机制造商都必须这样做。“

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。