使用Android智能手机的朋友注意了【一张图片能导致手机变砖】

万安彩电维修

    谷歌前天发布了最新的Android安全公告（Android Security Bulletin），针对前一阵曝出的一系列漏洞做了补丁修复，比如说影响到9亿台设备、针对高通芯片的Quadrooter漏洞——这也是本次Android补丁修复漏洞的重点。
    不过来自Forbes的报道，实际上这次谷歌还修复了一个鲜为人知的漏洞，看起来也是相当危险：只要有人给你发一张照片，Android手机就可能被入侵——在某些情况下，用户甚至不需要点击这张照片，手机自动对照片进行解析时，黑客就能远程控制Android设备，或者令设备变砖。

点开图片 手机就变砖
    该漏洞编号为CVE-2016-3862，实际上和先前著名的Stagefright（只需要一条彩信就能控制受害者的手机）有些类似，或者说和前一阵苹果系统中的CVE-2016-4631漏洞更像。不过这次的漏洞与图片的EXIF信息有关：数字图片除了自身呈现画面的数据之外，还附带有EXIF数据——比如这张照片是用什么设备拍的，照片拍摄所在地理位置、拍摄时光圈、快门分别是多少等等，这些信息就属于EXIF数据部分。
    Android系统中读写JPG图片EXIF扩展信息的API为ExifInterface——在应用解析图片信息的过程中，该漏洞就能被恶意代码利用。任何使用了ExifInterface类的Android应用都可能触发此漏洞。来自安全公司SentinelOne的Strazzere表示，如Gchat、Gmail这些应用，用户在这些应用中打开图片文件，就可能导致设备崩溃，甚至“远程代码执行”，并在用户毫无察觉的情况下在系统中植入恶意程序，并进行全面控制。
    该漏洞不需要引起用户太多的注意就能触发，比如应用只需要以特定的方式来加载图片。触发的方式非常简单，包括接收一条消息或者电子邮件。只要应用对照片进行解析（这个过程是系统自动进行的），就会导致问题发生。
    Forbes的这篇文章中并没有详述该漏洞的技术细节，我们从Android安全公告中看到，谷歌对这个漏洞的归类为“Mediaserver中的远程代码执行漏洞”，漏洞威胁等级为Critical紧急级别。漏洞描述如下：
    “Mediaserver中的远程代码执行漏洞，攻击者通过专门构建的文件，在媒体文件和数据处理过程中，可致内存崩溃（corruption）。鉴于该问题可导致在Mediaserver进程中进行远程代码执行，故将漏洞分级为紧急级别。”
    谷歌这次发布的Android系统9月补丁针对Android 4.4.4及更高版本的系统（已经升级Android 7.0的设备似乎是不受影响的），不过据说更老版本的系统也存在这一问题，只不过谷歌已不再支持早期版本的系统更新。Strazzere特别针对Android 4.2以及部分亚马逊Kindle平板设备进行了试验，发现也都存在此问题。
    所以Strazzere的建议是，如果你的Android手机过老，已经不能再进行系统升级了，那么只要你还在意安全性，就请换一部手机吧。运行Android 4.4.4系统以上版本的Nexus设备今天应该就会收到一波更新，其他OEM厂商的Android设备就需要等厂商和运营商的补丁推送计划了。

menghuaqing

这世界太可怕了，威胁无处不在，看来我的手机要“升级”.

549090689

感觉好怕怕！！

y284118246

可是手机怎样升级啊，厂家又没发升级包，我的手机root都不行

乆个炱昜

还是棒棒机安逸，声音大，待机时间长，不死机，管你什么漏洞！

zx61107

大部分老手机厂家都不更新了。

枫桥夜泊

全球上门维修 发表于 2016-9-10 08:49
本人手机非常干净卸载了所有系统自带软件，就一个微信而已，还好微信厚道，从不后台自动运行。

哥你是怎么做到的

华维国际

安卓免费用了这么多年知足了，如果是国内开发的软件或系统，里面不知加多少广告了，如墨迹天气，360，腾讯等

太空星星

谢谢楼主提醒,但现在科技发达,魚目混珠,防不胜防!