屏保壁纸引起血案，三星手机瞬间变砖

做者 | 马超php

责编 | 伍杏玲程序员

头图 | CSDN下载自东方IC浏览器

出品 | CSDN（ID:CSDNnews）安全

由于一张壁纸引起手机变砖的状况再次出现。近日，据俄罗斯卫星通信社报道，网名为“Ice Universe”的用户发布了一张可能会致使三星手机崩溃的图片，他表示“不管如何不要将这张图片设置成壁纸，尤为是在三星手机上。”架构

在其余用户评论中发现，有用户将这张图设置成壁纸后，手机开始出现重启、闪烁、关机状况。一些手机用户称，他们丢失了全部资料。ide

@照片  TWITTER/ICE UNIVERSE人工智能

不过，这一次三星官方并无像以前的电池门同样，进行事件回复，由于很快其它手机也发现了相似的问题。通过排查，最终定位到该Bug是由安卓系统自己自带的图像库引发的，几乎所有安卓手机都会中招。而这已经不是手机终端的图像库第一次爆出安全漏洞了。spa

在一个月以前谷歌旗下的Project Zero信息安全团队公布其在苹果公司的Image I/O 中发现的一些Bug。Image I/O库是被iOS、MacOS、WatchOS 和 TVOS所共有的多媒体库，所以谷歌曝光的这一缺陷，几乎影响苹果的每个主要平台。苹果的Image I/O库与安卓的图像库在各自体系内的地位相似。操作系统

据了解，这次三星宕机事件的主要缘由在于这张壁纸采用了RGB色域标准，安卓10系统会优先选择色域更小的sRGB，所以在调入壁纸时默认须要进行色域转换，此图在色域转换中所须要的时间较长，若是手机没法及时完成图片的色域转换，最终就致使系统陷入崩溃状态中，因为调入壁纸的机制又没法跳过，致使手机必须恢复出厂设置才能恢复正常。code

所以此次的安卓手机宕机问题是图像库引起的血案，图像库除了会引起崩溃，还常常是恶意攻击的发起突破口，客户经过制做畸形的媒体文件，能够利用图像解析程序存在的漏洞，在目标主机上执行恶意代码。

为何图像类库是终端漏洞之源？

目前在各种主流的操做系统当中，都会有文件的自动分类功能，用户能够在文件浏览器中对于如声音、视频、图片进行分类浏览。任意一个新多媒体文件，都会自动地被操做系统解析。这个解析操做不须要与用户进行交互，甚至是没法被取消的，这是此次事件中不少手机变砖的最大缘由。

多媒体解析类库的代码可跨平台通用，也就是图片预解析的行为在各个操做系统相同。正是因为以上缘由，使得图像类库常常成为各系统的弱点，咱们所要作的就是找到一种方法，将格式错误的多媒体文件发送到设备，等待文件处理，直到漏洞代码触发。在当今互联的世界中，交换图像和视频是最多见的用户交互之一。所以，若是发现重大漏洞，并将其隐藏在图像文件中，是很是隐蔽并且高效的攻击方法。

本次漏洞的主角安卓图像处理库，是谷歌用于其移动设备中的图像解析处理类库。因为其在应用生态系统中的核心角色，安卓图像类库像是一个危险的攻击表面，它本质上为任何攻击者提供入侵媒介，因此如何强调其安全性也不为过。

也有很多安全团队警告，相似这种因为缺少超时处理机制的问题，还极可能会引起其它问题，所以色域选择的超时降级，是重要的规避解决方案。

笔者认为，目前对于用户来讲最简单的规避方法，就是不要更换任何壁纸图像，这都有可能形成系统的异常崩溃。

若是全世界手机所有蓝屏，存在银行的资金还安全吗？

笔者看到在此事件发生以后，很多网友都在开各类脑洞，一旦全世界手机所有出现蓝屏，那么咱们在银行的钱会不会不知去向？

对于这样的问题，笔者做为一名金融科技阵线工做多年的老兵，能够确定的说，单纯的终端问题并不会形成金融资金安全问题，通常来讲金融类App的安全都是有保证的，其安全等级是独立于手机OS的。

好比咱们在手机内输入密码等敏感信息时，通常都是基于App自身的输入法来进行的，输入元素是乱序的，App一旦发现密码重试次数过多等问题，都会触发安全保护机制，相关安全方案仍是可以保证万无一失的。

各大科技巨头为应对日益增加的安全威胁成立了相关安全团队以处理相关威胁，好比谷歌就推出了Project Zero计划，其团队成员包括曾在2013年发现存在于AdobeFlash及微软Office中大量漏洞的新西兰人本·霍克斯（Ben Hawkes）、英国知名“零日漏洞查杀”专家塔维斯·奥曼迪（Tavis Ormandy）、成功破解谷歌Chrome操做系统的乔治·霍兹以及曾经发现了苹果iOS、OSX和Safari浏览器多个漏洞的神秘瑞士黑客布雷特·伊恩·贝尔（Brit Ian Beer）等等。

结语

除了图片库外，随着开源理念的不断深刻人心，软件包之间的互相依赖性也较以往大幅增长了，好比以前一个JavaScript Promise类库的两行代码就引起了数百万个项目的崩溃，而脸书SDK的问题，也使不少苹果App闪退。

而本次事件中的终端图像类库可能还隐藏着巨大的风险，所以还须要业界高度重视安全方面的新动向，以免此类悲剧再次发生。

参考：

http://sputniknews.cn/society/202006021031554664/

【END】

更多精彩推荐
☞AI 终极问题：咱们的大脑是一台超级计算机吗？
☞前方高能！IT 程序员、软件工程师值得考的证书原来有这么多！| 原力计划
☞又跌了，扎心！6 月全国程序员工资平均 14404 元 | 原力计划
☞懂语言者得天下：NLP凭什么被称为人工智能的掌上明珠？
☞整理了一份 Docker系统知识，从安装到熟练操做看这篇就够了 | 原力计划
☞首席架构师揭秘“国家队”牵头的BSN到底是什么？
点击阅读原文，精彩继续。
你点的每一个“在看”，我都认真当成了喜欢