Android 系统又被发现了新漏洞，可能你只是打开了一个 MP3 文件，就被暴露于危险之中。这次是两个可能影响 10 亿用户的安全漏洞，几乎每台 Android 手机的用户都可能被感染。

以色列移动安全公司 Zimperium 的安全专家 Joshua J Drake 发布了新的报告，他在Android 系统中发现了两个漏洞，可能会被黑客利用，欺骗用户访问含有恶意 MP3 或 MP4 的网站。当用户打开被感染的多媒体文件，这台 Android 设备可能就会被执行任何制定的代码（arbitrary code execution），也就是被黑客所控制。

这两个漏洞都包含在 Android 系统用于播放媒体文件的引擎 Stagefright 中。

报告显示，第一个代号为“CVE-2015-6602”的漏洞影响范围极广，包括从 2008 年发布的 Android 1.0 系统以来所有的 Android 设备，在打开第三方应用或者运营商预装应用的时候都可能触发。第二个漏洞则会影响到搭载 Android 5.0 以上版本的设备。

如果黑客本人和受感染的设备处于同一个网络之中，比如共享了同一个咖啡馆的 Wi-Fi，设备被远程控制的风险就更高。黑客可以将攻击代码植入“受害者”未经加密的网络访问中，这样，即使用户没有访问恶意网站或者预览多媒体文件，也可以被攻击。

Zimperium 的安全专家认为至少 9.5 亿 Android 用户可能处于安全风险之中，而这家安全公司的 CTO Zuk Avraham 则表示，可能被影响到的用户多达 14 亿。在接受采访时他说：“我不能说所有的 Android 手机都是脆弱的，但是绝大多数都是这样。”

今年七月，同样是这家安全公司已经报告过一个 Stagefright 漏洞，黑客只需要通过一条彩信，就能借由这个漏洞控制用户的手机，影响范围主要是 Android 2.2 以及之后的版本，大约为 1 亿台设备。

早些时候，面对用户手机系统升级缓慢，Google 采取了停止全面支持 Android 4.4 的做法来促使手机用户更新换代，而在七月的漏洞曝光之后，Google 宣布在一款 Nexus 设备推出的 3 年内或者在 Google Store 购买的设备能在 1 年半内持续得到安全更新。这些安全更新都将开源给其他的 Android 手机厂商。

一位 Google 的发言人表示，针对新漏洞的安全补丁将于 10 月 5 日推送给 Nexus 手机的用户，摩托罗拉的发言人则表示公司将处理这些漏洞，而三星、HTC、索尼、华为等公司还没有对此事做出回应。

看起来，如果要继续用 Android 系统的话，最快获得安全更新的方式是使用Google 的“亲儿子” Nexus 系列设备。而苹果的 iOS 系统可能也没有那么安全，前不久刚刚曝出的 XcodeGhost 恶意代码漏洞，可能感染了超过 1000 个应用。