安卓漏洞有什麼後果

A. 安卓系統兩大漏洞影響多少設備

安全研究者揭示了谷歌Android系統的兩個關鍵漏洞，這些漏洞影響到了全球超過10億台Android設備，幾乎涵蓋了所有版本，從最早的1.0到最新的5.0，安全風險無處不在。

黑客利用這些漏洞的手段是通過欺騙用戶訪問惡意MP3或MP4文件的網站，一旦用戶預覽這些被感染的多媒體文件，Android設備的「Stagefright」媒體播放引擎處理元數據的方式就會成為攻擊的入口，設備瞬間面臨被黑風險。

值得注意的是，這並非Stagefright問題的首次曝光。今年早些時候，Zimperium zLabs就發現了7個Stragefright漏洞，潛在影響了9.5億台設備。而新曝光的「Stagefright 2.0」漏洞問題更加廣泛，影響范圍更為廣泛，且包括了更多搭載5.0及以上版本的設備。

其中，CVE-2015-6602漏洞自2008年第一代Android發布以來，幾乎波及所有設備，而CVE-2015-3876則針對5.0及以上版本，使得攻擊更容易觸發。Zimperium zLabs的創始人蘇克·亞伯拉罕表示，這兩個新漏洞與之前的Stagefright漏洞同等嚴重，可能造成同樣級別的損害。

谷歌方面已著手修復，其發言人透露，預計將在10月5日開始為Nexus設備提供補丁，以應對這一安全威脅。用戶應保持警惕，定期更新系統以保障設備安全。

B. 安卓手機簽名漏洞是什麼意思

1、Android(安卓)操作系統級高危漏洞：黑客可在不破壞APP數字簽名的情況下，篡改任何正常手機應用，並進而控制中招手機，實現偷賬號、竊隱私、打電話或發簡訊等任意行為，從而使手機瞬間淪為「肉雞」。

2、此簽名漏洞由國外媒體率先曝光，存在大部分安卓系統的安裝校驗機制中，會影響99%的安卓手機。利用該漏洞，黑客可在不破壞數字簽名的前提下，篡改包括系統應用在內的任何正常應用的APK安裝包文件代碼，並植入任意惡意代碼。

3、何謂數字簽名？數字簽名可以保證每個應用程序來源於合法的開發商，安卓系統的安全機制要求所安裝的程序必須攜帶數字簽名。憑此簽名，系統就能判定一個程序的代碼或者APK安裝包文件是否被動過手腳。被篡改過的安裝包因為無法產生與原始安裝包相同的簽名而無法實現對原應用的覆蓋安裝升級。這是整個安卓操作系統得以控制風險的一種至關重要的安全校驗機制。

4、解決方法：用戶應定期更新手機衛士病毒庫，及時查殺利用該漏洞的惡意軟體。用戶應從官方網站、手機助手等正規、安全的渠道下載手機應用，以免下載到被惡意篡改的帶毒程序。

C. Android 上的漏洞對普通用戶有何影響，如何防範

首先，他們給這個漏洞取名叫寄生獸實在是……簡單來說這其實是一個靜態代碼注入的漏洞，關鍵點在於安卓系統源碼中對odex緩存文件的校驗薄弱，可被繞過，從而實現惡意代碼注入。那麼這個漏洞的首要觸發條件就是攻擊者要能覆蓋目標app的在文件系統中的odex，而每個app的odex都是在其私有目錄裡面，受沙盒機制保護。攻擊者要利用這個漏洞就先得突破沙盒機制，而如果攻擊者都已經有這樣的許可權了，其實能做的事情非常多，這個漏洞只是其中一種。

360列出了4種可能的攻擊場景來突破沙盒機制。首先是三星自帶的輸入法的遠程命令執行漏洞，這個漏洞要利用得劫持網路做中間人攻擊，其實是比較局限的，不談需要在應用插件更新時劫持網路，首先你得有一台三星……然後360列出了真實環境中的3種場景。第一種是解壓目錄遍歷，這個其實是app開發者沒有安全調用安卓原生api導致的漏洞，可讓攻擊者在解壓時以目標app的許可權覆蓋到odex。第二種是備份的漏洞，這種漏洞也是由於安卓開發者沒有安全配置清單文件導致的，可利用修改備份然後恢復的方式覆蓋odex。以上兩種方法都不需要root許可權，這明明就是開發者的鍋！就這兩種場景而言，這個漏洞是有一定影響面的，跟webview那個由來已久的遠程代碼執行漏洞一樣，是安卓本身安全缺陷導致的，但開發者自己應該作出應對。以後大家做安全審計時可以注意一下上面兩種場景現在有新的注入手段了。第三種攻擊場景是危言聳聽，基本可以無視，要求攻擊者具有root許可權，你都有root許可權了為什麼不考慮動態注入呢，目前很多app的動態注入防護是很弱的，實際上大多數根本沒有。

最後表達一下我一直以來的觀點，不要動不動就把鍋推到用戶身上，root手機帶來的安全隱患真的沒有想像的那麼大。為用戶減少安全風險是每個敬業的安全工程師的職責，如果你所謂的安全是放棄功能，那大家還不如換回小靈通，這完全就是沒有責任感的表現。

D. 哪些安卓裝置可能受到驍龍晶元漏洞的影響

驍龍晶元嚴重安全漏洞曝光，安卓設備面臨全面控制威脅
高通驍龍晶元被網路安全研究人員發現存在六個關鍵漏洞，編號為CVE-2020-11201至CVE-2020-11209，這些漏洞威脅著眾多運行安卓系統的設備。漏洞主要源於Hexagon數字信號處理器（DSP），負責處理實時請求並轉換語音、視頻等服務為計算數據。
Check Point，發現漏洞的機構，在其博客中警告，攻擊者利用這些漏洞，可竊取用戶照片、視頻、語音錄音、GPS定位等敏感信息，甚至可能導致裝置永久性DoS（拒絕服務攻擊）或內核崩潰，迫使手機重啟。值得注意的是，由於防毒軟體通常不掃描Hexagon指令集，這為惡意代碼的隱藏提供了可能。
據稱，Check Point在二月至三月期間已向高通通報了這些漏洞，高通隨後在七月開發了修復補丁。然而，目前尚不清楚其他OEM廠商是否已推送該補丁，例如Google。因此，Check Point並未公開漏洞的具體技術細節，以防止被惡意利用。
總的來說，這些漏洞揭示了安卓設備在面對潛在攻擊時的脆弱性，用戶和製造商亟待採取行動，確保安全補丁的及時應用，以防止設備落入攻擊者之手。