stagefright是什么高危漏洞

这个关键漏洞位于Android的名为“Stagefright”的核心库中，这是一个原生的媒体播放库，供Android系统用来处理、记录和播放多媒体文件。

Stagefright是一个真正可以主动利用的安全漏洞，也就是说，只要黑客知道你的电话号码，然后发送一条恶意MMS给你，就能侵入 Android 手机，取得控制权，根本无需受害者任何交互。更可怕的是还能神不知鬼不觉，侵入系统后就删除讯息，不会让主人察觉。

不知道电话号码 照样黑你

但是，据最近的一项研究声称，现在根本不需要知道受害者的移动电话号码，照样可以感染他们的设备。

在此前获悉的攻击情形中，攻击者只能针对已知联系号码的手机来发动Stagefright攻击。这意味着攻击者需要提前知道目标设备的电话号码。

这样的攻击情形实际上不太可能发生，因为如果攻击者想要进行大规模的感染，即使他们有大量资金来发送国内和国际MMS的话，也得知道巨量目标设备的电话号码才行。

触发Stagefright漏洞的新方法

目前，趋势科技的安全研究人员已经发现了两种新的攻击方案，无需发送恶意的彩信就可以直接触发Stagefright漏洞：

通过Android应用触发漏洞

为访问互联网网页的攻击目标精心构造HTML漏洞利用

与之前的攻击手段相比，这两种新型的Stagefright攻击向量带来了更加严重的安全威胁，因为攻击者可以利用该BUG远程进行下列活动：

在不知道受害者的电话号码且不费一分钱的情况下，就能黑掉数以百万计的Android设备。

切取海量数据。

利用黑掉的Android设备打造僵尸网络，等等。

“精心构造的特殊MP4文件，能够破坏或利用媒体服务器的堆”，研究人员解释道，这就是利用应用程序触发Stagefright攻击的方法。