stagefright_StageFright:Android操作系统中最易受攻击的错误
stagefright
Introduction:
介绍:
www.statista.com ]www.statista.com ]
www.statista.com ]www.statista.com ]
What is StageFright ?
什么是StageFright?
Who discovered StageFright?
谁发现了StageFright?
Why does StageFright make Android users so vulnerable ?
为什么StageFright使Android用户如此脆弱?
See StageFright Demo Video观看StageFright演示视频
StageFright Versions:
StageFright版本:
There are two versions that exploit Android devices:
有两个版本可以利用Android设备:
StageFright 1.0
StageFright 1.0
StageFright 2.0
StageFright 2.0
StageFright 1.0
StageFright 1.0
Avast blog for StageFright 1.0StageFright 1.0的Avast博客
StageFright 2.0
StageFright 2.0
Zimperium claims to have confirmed remote execution, and brought this to Google's attention on August 15. In response, Google assigned CVE-2015-3876 and CVE-2015-6602 to the pair of reported issues and started working on a fix.
Is your Android device affected by StageFright 2.0
您的Android设备是否受StageFright 2.0的影响
In one way or another, yes. CVE-2015-6602 refers to a vulnerability in libutils, and as Zimperium points out in their post announcing the discovery of this vulnerability it impacts every Android phone and tablet going back as far as Android 1.0. CVE-2015-3876 affects every Android 5.0 and higher phone or tablet, and could theoretically be delivered via website or man in the middle attack.
What CVE is ?
什么是CVE?
CVE stands for Common Vulnerabilities and Exposures (CVE) system which provides a reference-method for publicly known information-security vulnerabilities and exposures.
CVE代表“ 常见漏洞和披露 (CVE)”系统,它为公众已知的信息安全提供参考方法 ul 城市和 曝光。
CVE-ID Syntax
CVE-ID语法
There was an old version of CVE syntax also which is little bit different from below defined syntax.
还有一个旧版本的CVE语法 ,与下面定义的语法有点不同。
CVE prefix + Year + Arbitrary Digits [] New syntax implemented from Jan 1st, 2014 ]
CVE前缀+年+任意数字[]从2014年1月1 日开始实施新语法]
The following figure is clearly showing the difference between old CVE syntax and new CVE syntax which is taken from www.mitre.org
下图清楚地显示了旧的CVE语法和新的CVE语法之间的区别,该区别来自www.mitre.org
How to know if your Android device is affected by StageFright 2.0 vulnerability
如何知道您的Android设备是否受StageFright 2.0漏洞影响
My own experience about StageFright:
我对StageFright的经验:
You can’t believe the things which I noticed then:
您无法相信我当时注意到的事情:
Unfortunately, now StageFright 2.0 has arrived, so be aware. Keep yourself from being a victim, follow the precautions which are given below under the heading “How to fight with StageFright 2.0 until the patch arrives.“ I had a very frustrating and annoying experience with StageFright 1.0.
不幸的是,现在StageFright 2.0已经到货,请注意。 避免自己成为受害者,请遵循下面标题为“如何与StageFright 2.0战斗直到补丁发布之前”的预防措施。我对StageFright 1.0感到非常沮丧和烦恼。
Android was my favorite flavor for smartphones but after this incident I am losing my interest in Android devices.
Android是我最喜欢的智能手机版本,但是在此事件之后,我对Android设备失去了兴趣。
How to fight with StageFright 2.0 until the patch arrives:
在补丁发布之前,如何与StageFright 2.0战斗:
1) Try to not download mp3 or mp4 from your web browsers.
1)尝试不要从网络浏览器下载mp3或mp4。
2) Avoid public networks.
2)避免使用公共网络。
3) Secure your wi-fi connection with strong passwords.
3)使用强密码保护您的Wi-Fi连接。
4) Pay attention to where you are browsing and what you are browsing.
4)注意您正在浏览的位置以及正在浏览的内容。
5) Don't open mp3 or mp4 files from anyone you don't know.
5)请勿打开您不认识的人的mp3或mp4文件。
OS which have fixed StageFright 2.0
固定了StageFright 2.0的操作系统
Blackphone 2, is a smartphone in which the phone is fully encrypted to tighten the security. The company calls it Silent OS, which is derived from Android (which is open source).Blackphone 2是一种智能手机,其中电话已完全加密以加强安全性。 该公司将其称为Silent OS,它是从Android(开源)衍生而来的。 Cyanogenmod OS have patched for StageFright 2.0Cyanogenmod OS已针对StageFright 2.0进行了修补
References:
参考文献:
1) www.wikipedia.com
1) www.wikipedia.com
2) www.bgr.com
2) www.bgr.com
3) www.pcworld.com
3) www.pcworld.com
4) www.androidcentral.com
4) www.androidcentral.com
5) www.statista.com
5) www.statista.com
6) www.cvedetails.com
6) www.cvedetails.com
7) www.mitre.org
7) www.mitre.org
Final Words:
最后的话:
Happy reading. Please share your views via comments.
祝您阅读愉快。 请通过评论分享您的观点。
翻译自: https://www.experts-exchange.com/articles/21599/StageFright-The-most-vulnerable-bug-in-Android-OS.html
stagefright
stagefright_StageFright:Android操作系统中最易受攻击的错误相关推荐
- 在Android手机上使用Wardrive来映射易受攻击的网络(免root)
在Android手机上使用Wardrive来映射易受攻击的网络 将带有不错电池的旧Android智能手机放入您的黑客工具包中,可以让您通过步行或驾驶来快速映射您所在地区的数百个易受攻击的网络. war ...
- 微软反向 RDP 漏洞补丁不当,第三方 RDP 客户端易受攻击
聚焦源代码安全,网罗国内外最新资讯! 作者:Ravie Lakshmanan 编译:奇安信代码卫士团队 还记得反向 RDP 攻击吗?易受路径遍历漏洞影响的客户端系统通过微软远程桌面协议远程访问服务器 ...
- 【web-攻击web服务器】(13.2)易受攻击的服务器软件、Web 应用程序防火墙
目录 一.易受攻击的服务器软件 1.1.简介: 1.2.应用程序框架缺陷 简述: .NET填充提示 1.3.内存管理漏洞 简述: 1.4.编码与规范化漏洞 简述: 1.5.查找Web服务器漏洞 简述: ...
- 机器学习算法易受攻击?阿里“安全基建”这样应对AI的不安全
出品 | AI科技大本营(ID:rgznai100) 数字基建的浪潮之下,诸多行业领域都在加速融合5G.大数据中心.AI等新技术,向数字化转型.近日,多位全国政协委员.院士和安全行业专家提出,应尽快出 ...
- 分段显示 linux_ArchAudit:一款在 Arch Linux 上检查易受攻击的软件包的工具 | Linux 中国...
Arch-audit 是一个类似于 Arch Linux 的 pkg-audit 工具.它使用了令人称赞的 Arch 安全小组收集的数据.-- Prakash Subramanian 我们必须经常更新 ...
- C/C++ 最易受攻击、70% 漏洞无效,揭秘全球开源组件安全现状
开源是一种精神,更是一种合作共赢的模式.不过如今的开源生态虽然得以让诸多的程序员.技术人们学习.修改以及以任何目的向任何人分发开源软件,但是这并不意味着足够的安全.在本文中,我们将从最新发布的< ...
- 第三方依赖关系的风险:利用数十个易受攻击的 NuGet包瞄准 .NET 平台
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 研究人员分析NuGet 仓库上托管的现成可用软件包后指出,51个唯一的软件组件易受多个可活跃利用高危漏洞的影响,再次说明了第三方依赖关系对 ...
- SoftPAC 虚拟控制器漏洞使 OT 网络易受攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 工业网络安全公司 Claroty 的一名研究员在 Opto 22 的 SoftPAC 虚拟可编程自动控制器 (PAC) 中发现了多个漏 ...
- 内存完整性已关闭,你的设备可能易受攻击已解决之处理方法
最近有用户在打开安全中心内存完整性的时候提示内存完整性已关闭,你的设备可能易受攻击,这是有些驱动的兼容问题确实会导致内存完整性不能开启,那么该怎么解决呢?下面来看看解决方法吧!内存完整性是 Windo ...
- 十大最易受攻击的软件 Java第一Adobe第三
本文讲的是十大最易受攻击的软件 Java第一Adobe第三,一份最近的区域性调查报告显示,美国个人电脑上安装的软件中,甲骨文公司的Java,苹果公司的QuickTime,以及Adobe公司的PDF阅读 ...
最新文章
- vue.js快速入门
- Elasticsearch深入11 运维
- 030_jdbc-mysql事务
- [转载] 七龙珠第一部——第070话 五人战士大突击
- Python类的多态
- 在页面中隐藏数据库某信息并显示该信息对应的字典编码名称(后台ssh框架,前台extjs)
- 深度学习入门初步——MNIST数据格式如何使用
- h5应用 vue 钉钉_uniapp开发一个小视频应用(一)
- EntityFramework中的DbContext使用疑点说明
- linux下完全删除mysql
- vc++HOOK详细讲解
- php 跨域 json,php跨域调用json的例子
- photoshop Mac版本安装
- 服务器状态错误是怎么回事,内部服务器错误500是什么?该如何解决?
- 【遥感】常见国产卫星载荷分辨率汇总
- 站在物联网风口 中兴着力构建GIA 的IoT新生态
- 酱香科技不在YYDS了,市盈率50倍的白酒,要回调到25倍的市盈率?泡沫要破灭了
- systemd 服务使用
- 名茶事典——【贡(寿)眉】
- SwiftUI iOS 精品完成项目之宠物展示与领养App MVVM(教程含源码)