移動(dòng)安全公司Lookout的研究人員周一表示，估計有80%的Android手機包含一個(gè)最近發(fā)現的漏洞，該漏洞使攻擊者可以終止連接，并且如果不對連接進(jìn)行加密，則可以將惡意代碼或內容注入雙方的通信中。

正如Ars 上周三報道的那樣，該漏洞最初出現在2012年引入的Linux操作系統內核的3.6版中。Lookout研究人員在周一發(fā)布的博客中說(shuō)，Linux漏洞似乎已引入Android 4.4版中(又名KitKat)，并且在所有將來(lái)的版本中仍然存在，包括Android Nougat的最新開(kāi)發(fā)人員預覽。統計數據提供商Statista的報告表明，該數字是基于A(yíng)ndroid的安裝基礎而來(lái)的，這意味著(zhù)約有14億個(gè)Android設備(約80%的用戶(hù))易受攻擊。

監視研究人員安德魯·布萊奇(Andrew Blaich)告訴Ars：“ tl; dr供Android用戶(hù)使用，以確保他們通過(guò)使用VPN對通信進(jìn)行加密，或者確保訪(fǎng)問(wèn)的站點(diǎn)已加密。” “如果有他們不想追蹤的地方，請務(wù)必確保已加密。”

該漏洞使具有Internet連接的任何人都可以確定是否有任何兩個(gè)方面正在通過(guò)長(cháng)期的傳輸控制協(xié)議連接進(jìn)行通信，例如為Web郵件，新聞提要或直接消息提供服務(wù)的協(xié)議。如果未對連接進(jìn)行加密，則攻擊者可以將惡意代碼或內容注入流量。即使對連接進(jìn)行加密，攻擊者也仍然可以確定存在信道并終止該信道。該漏洞分類(lèi)為CVE-2016-5696。

漏洞利用可能針對Android用戶(hù)的一種可能方式是讓他們將JavaScript插入不受HTTPS加密方案保護的合法互聯(lián)網(wǎng)流量中。JavaScript可能會(huì )顯示一條消息，錯誤地聲稱(chēng)用戶(hù)已退出帳戶(hù)，并指示她重新輸入用戶(hù)名和密碼。然后將登錄憑據發(fā)送給攻擊者。類(lèi)似的注入攻擊也可能試圖利用目標Android用戶(hù)正在使用的瀏覽器，電子郵件或聊天應用程序中未修補的漏洞。

為了使攻擊有效，對手必須首先花費大約10秒鐘的時(shí)間來(lái)測試兩個(gè)特定的參與者(例如已知的Android用戶(hù)和《今日美國》)是否已連接。然后，又需要45秒鐘左右的時(shí)間，才能將惡意內容注入其流量。所需的時(shí)間可能使得進(jìn)行襲擊大量人員的機會(huì )主義攻擊不切實(shí)際。不過(guò)，該技術(shù)似乎非常適合有針對性的攻擊，在這種攻擊中，攻擊者(例如，跟蹤者或國家支持的監視機構)正試圖感染或監視特定的個(gè)人，尤其是當黑客知道某些受攻擊者經(jīng)常訪(fǎng)問(wèn)的站點(diǎn)時(shí)目標。

一位Google代表說(shuō)，公司工程師已經(jīng)意識到了該漏洞，并“采取了適當的措施。如本文所述，該代表指出該漏洞存在于Linux內核的易受攻擊的版本中，而不是特定于A(yíng)ndroid的?？梢哉f(shuō)，Android安全團隊對它修補的許多漏洞的風(fēng)險評級為“中”，而不是“高”或“嚴重”風(fēng)險。Linux內核的維護者已經(jīng)對CVE-2016-5696進(jìn)行了修補。如果該修復程序在下個(gè)月左右集成到新的Android版本中，就不足為奇了。