Схоже, що Stagefright знову вражає.
Помилка безпеки, яка поширювалася на телефони, що працюють під керуванням версій ОС Android від 2.2 до 4, тепер підняла голову на атаку пристроїв з операційною системою Android 5.0 і вище.
Джошуа Дж. Дрейк, віце-президент з досліджень Zimperium zLabs, знайшов іншу проблему безпеки в Android під назвою Stagefright 2.0. Дрейк стверджує, що існує дві уразливості, які можуть виникнути при обробці спеціально створених аудіофайлів MP3 і відеофайлів MP4.
$config[code] not foundМабуть, в межах файлів MP3 і MP4 це функція, яка дозволяє віддалене виконання коду (RCE). Це в основному означає, що інфіковані файли MP3 і MP4 можуть дати комусь доступ до запуску завдання на вашому телефоні Android. Навіть простий перегляд шкідливої пісні або відео може поставити ваш телефон під загрозу.
Дрейк у своєму блозі повідомляє, що найбільш вразливий підхід до телефону Android є через веб-браузер, з трьома різними способами, якими хакер може скористатися помилкою безпеки.
По-перше, зловмисник може спробувати змусити користувача Android звернутися до URL-адреси, яка дійсно призведе до керованого веб-сайту зловмисника. Це можна зробити, наприклад, у формі рекламної кампанії. Потрапивши в, жертва зазнає зараженого файлу MP3 або MP4.
У тих же лініях зловмисник може використовувати додаток стороннього виробника, наприклад медіа-плеєр. У цьому випадку це додаток, який міститиме один з цих шкідливих файлів.
Але є й третя можливість, коли хакер може взяти інший маршрут.
Скажімо, хакер і користувач Android використовують один і той же WiFi. Після цього хакеру не потрібно було б обманювати користувача на відвідування URL-адреси або відкриття стороннього додатка. Натомість, все, що їм потрібно було б зробити, це ввести експлуатат у незашифрований мережевий трафік користувача, який використовується браузером.
Оригінальна помилка Stagefright - яку також виявив Дрейк в цьому році - відкрила Android-телефони до цієї уразливості через текстові повідомлення, що містять шкідливе програмне забезпечення.
Якщо хакер знав ваш номер телефону, можна надіслати текстове повідомлення, що містить зловмисний мультимедійний файл. Після цього текст може дозволити хакеру доступ до даних і фотографій користувача або навіть надати доступ до функцій, таких як камера або мікрофон телефону.
Користувачі можуть бути зачеплені і навіть не знати.
Патч був випущений для вихідної помилки Stagefright не надто довго після того, як була виявлена уразливість.Проте з патчем було кілька проблем. Деякі звіти вказали, що виправлення може призвести до падіння телефонів у деяких випадках, коли відкрито мультимедійне повідомлення.
Дрейк каже, що він повідомив Android про загрозу і заявив, що Android швидко перейшов до ремонта, хоча вони ще не надали номер CVE для відстеження цієї останньої проблеми. Google включає виправлення для Stagefright у бюлетені Nexus Security, який виходить на цьому тижні.
Якщо ви не впевнені, що ваш пристрій Android є вразливим, ви можете завантажити додаток Zimperium Inc. Stagefright Detector, щоб перевірити наявність уразливостей.
Фото з Android Lollipop через Shutterstock
Більше в: Google 2 Коментарі ▼
