全球約有80%的智能手機使用安卓系統，安全研究人員最新披露，利用一個軟件漏洞，黑客只需給受害人發送一條短信，即可入侵并控制手機，意味著9.5億用戶可能受到影響。

[[142558]]

只需一條短信

不像以往那樣，受害人需要打開有木馬的附件或下載惡意文件才能中招。這種攻擊的可怕之處在于，只要你一收到短信，惡意代碼即可運行。

“甚至在你聽到短信提示音之前，一切就能發生。這是它的極度危險之處，它可能是悄然無聲的。你可能什么都不會注意到，”發現這個漏洞的安全人員約書華·德里克說道。德里克是安全公司Zimperium的高級研究人員，《安卓黑客手冊》一書的合著者。

這個漏洞出在于安卓系統的Stagefright媒體庫中，德里克將在8月5日的黑帽大會上公開這一漏洞的細節。

攻擊過程：

攻擊者建立一條多媒體短信，把惡意代碼藏在其中，然后發送給受害人的手機。當這條短信到達手機的那一刻，“觸發漏洞，惡意代碼開始初始化。”一旦攻擊者成功進入手機，便可做任意事情。復制數據、刪除數據，控制話筒和攝像頭以監視機主。

理論上的解決方案：

德里克表示，這個漏洞幾乎影響每一臺使用中的安卓手機。但他同時指出，目前還沒有看到黑客利用這個漏洞。在今年四、五月份時，他在郵件中向谷歌提交了他的發現，甚至還發送了補丁。谷歌官方很快給予答復，接收了他的補丁，并對他的工作表示感謝。但問題是，補丁工作進展的很慢。德里克認為，很可能只有20%的手機打上了補丁，最樂觀的估計也只是50%。

安卓的合作伙伴太復雜

僅有一半左右的手機打上了補丁，谷歌同意這一現狀并不樂觀。但它表示，已經通知了合作伙伴，并把補丁發送給了使用安卓系統的手機生產商。實際上，谷歌能做到的也只是這些，更多的事情需要手機廠商和運營商聯合工作，以最大限度的降低風險。

安卓與蘋果手機不同，后者是個封閉的系統，控制著手機的硬件和軟件，升級或打補丁比較容易。目前，85%的iPhon用戶都在使用最新的系統 iOS 8。據統計，在2014年第一季度，99%的惡意軟件威脅都在安卓設備上。

谷歌把安卓的最新版本給到手機生產商，后者則會按自己的想法任意更改，還有電信運營商也在把各種定制版本強行植入到系統中，以致于想全面更新安卓系統幾乎成了一個不可能完成的挑戰。今年初在安卓瀏覽器應用中發現的一個漏洞，到現在還有很大一部分的手機仍然沒有打上補丁。業內人員認為，廠商沒有經濟動機去修復已經售出的手機。