安卓漏洞有什么后果

A. 安卓系统两大漏洞影响多少设备

安全研究者揭示了谷歌Android系统的两个关键漏洞，这些漏洞影响到了全球超过10亿台Android设备，几乎涵盖了所有版本，从最早的1.0到最新的5.0，安全风险无处不在。

黑客利用这些漏洞的手段是通过欺骗用户访问恶意MP3或MP4文件的网站，一旦用户预览这些被感染的多媒体文件，Android设备的“Stagefright”媒体播放引擎处理元数据的方式就会成为攻击的入口，设备瞬间面临被黑风险。

值得注意的是，这并非Stagefright问题的首次曝光。今年早些时候，Zimperium zLabs就发现了7个Stragefright漏洞，潜在影响了9.5亿台设备。而新曝光的“Stagefright 2.0”漏洞问题更加广泛，影响范围更为广泛，且包括了更多搭载5.0及以上版本的设备。

其中，CVE-2015-6602漏洞自2008年第一代Android发布以来，几乎波及所有设备，而CVE-2015-3876则针对5.0及以上版本，使得攻击更容易触发。Zimperium zLabs的创始人苏克·亚伯拉罕表示，这两个新漏洞与之前的Stagefright漏洞同等严重，可能造成同样级别的损害。

谷歌方面已着手修复，其发言人透露，预计将在10月5日开始为Nexus设备提供补丁，以应对这一安全威胁。用户应保持警惕，定期更新系统以保障设备安全。

B. 安卓手机签名漏洞是什么意思

1、Android(安卓)操作系统级高危漏洞：黑客可在不破坏APP数字签名的情况下，篡改任何正常手机应用，并进而控制中招手机，实现偷账号、窃隐私、打电话或发短信等任意行为，从而使手机瞬间沦为“肉鸡”。

2、此签名漏洞由国外媒体率先曝光，存在大部分安卓系统的安装校验机制中，会影响99%的安卓手机。利用该漏洞，黑客可在不破坏数字签名的前提下，篡改包括系统应用在内的任何正常应用的APK安装包文件代码，并植入任意恶意代码。

3、何谓数字签名？数字签名可以保证每个应用程序来源于合法的开发商，安卓系统的安全机制要求所安装的程序必须携带数字签名。凭此签名，系统就能判定一个程序的代码或者APK安装包文件是否被动过手脚。被篡改过的安装包因为无法产生与原始安装包相同的签名而无法实现对原应用的覆盖安装升级。这是整个安卓操作系统得以控制风险的一种至关重要的安全校验机制。

4、解决方法：用户应定期更新手机卫士病毒库，及时查杀利用该漏洞的恶意软件。用户应从官方网站、手机助手等正规、安全的渠道下载手机应用，以免下载到被恶意篡改的带毒程序。

C. Android 上的漏洞对普通用户有何影响，如何防范

首先，他们给这个漏洞取名叫寄生兽实在是……简单来说这其实是一个静态代码注入的漏洞，关键点在于安卓系统源码中对odex缓存文件的校验薄弱，可被绕过，从而实现恶意代码注入。那么这个漏洞的首要触发条件就是攻击者要能覆盖目标app的在文件系统中的odex，而每个app的odex都是在其私有目录里面，受沙盒机制保护。攻击者要利用这个漏洞就先得突破沙盒机制，而如果攻击者都已经有这样的权限了，其实能做的事情非常多，这个漏洞只是其中一种。

360列出了4种可能的攻击场景来突破沙盒机制。首先是三星自带的输入法的远程命令执行漏洞，这个漏洞要利用得劫持网络做中间人攻击，其实是比较局限的，不谈需要在应用插件更新时劫持网络，首先你得有一台三星……然后360列出了真实环境中的3种场景。第一种是解压目录遍历，这个其实是app开发者没有安全调用安卓原生api导致的漏洞，可让攻击者在解压时以目标app的权限覆盖到odex。第二种是备份的漏洞，这种漏洞也是由于安卓开发者没有安全配置清单文件导致的，可利用修改备份然后恢复的方式覆盖odex。以上两种方法都不需要root权限，这明明就是开发者的锅！就这两种场景而言，这个漏洞是有一定影响面的，跟webview那个由来已久的远程代码执行漏洞一样，是安卓本身安全缺陷导致的，但开发者自己应该作出应对。以后大家做安全审计时可以注意一下上面两种场景现在有新的注入手段了。第三种攻击场景是危言耸听，基本可以无视，要求攻击者具有root权限，你都有root权限了为什么不考虑动态注入呢，目前很多app的动态注入防护是很弱的，实际上大多数根本没有。

最后表达一下我一直以来的观点，不要动不动就把锅推到用户身上，root手机带来的安全隐患真的没有想象的那么大。为用户减少安全风险是每个敬业的安全工程师的职责，如果你所谓的安全是放弃功能，那大家还不如换回小灵通，这完全就是没有责任感的表现。

D. 哪些安卓装置可能受到骁龙芯片漏洞的影响

骁龙芯片严重安全漏洞曝光，安卓设备面临全面控制威胁
高通骁龙芯片被网络安全研究人员发现存在六个关键漏洞，编号为CVE-2020-11201至CVE-2020-11209，这些漏洞威胁着众多运行安卓系统的设备。漏洞主要源于Hexagon数字信号处理器（DSP），负责处理实时请求并转换语音、视频等服务为计算数据。
Check Point，发现漏洞的机构，在其博客中警告，攻击者利用这些漏洞，可窃取用户照片、视频、语音录音、GPS定位等敏感信息，甚至可能导致装置永久性DoS（拒绝服务攻击）或内核崩溃，迫使手机重启。值得注意的是，由于防毒软件通常不扫描Hexagon指令集，这为恶意代码的隐藏提供了可能。
据称，Check Point在二月至三月期间已向高通通报了这些漏洞，高通随后在七月开发了修复补丁。然而，目前尚不清楚其他OEM厂商是否已推送该补丁，例如Google。因此，Check Point并未公开漏洞的具体技术细节，以防止被恶意利用。
总的来说，这些漏洞揭示了安卓设备在面对潜在攻击时的脆弱性，用户和制造商亟待采取行动，确保安全补丁的及时应用，以防止设备落入攻击者之手。