Якщо у вас є пристрій Android, ви, мабуть, добре знаєте про помилку Stagefright.
Google, Samsung, HTC, LG, Sony і телефони Blackphone, а також різні носії випустили патч для Stagefright, але, мабуть, цього не вистачить.
Охоронна фірма Exodus Intelligence виявила помилку в конкретному налаштуванні вихідного коду, який відповідав за збій пристрою, коли дані в мультимедійному повідомленні відкривалися. І, за словами компанії, її можна було б експлуатувати.
$config[code] not foundЗі свого боку Вихід сказав:
«До помилки привертає незліченну увагу - ми вважаємо, що ми, мабуть, не єдині, хто помітив, що це недосконало. Інші можуть мати злісні наміри »
Пошкоджений відеофайл MP4 падає навіть у виправлених бібліотеках Android Stagefright, залишаючи пристрої, на яких вони працюють, вразливими до атак.
Ця особлива проблема була виявлена близько 31 липня, коли дослідник з безпеки розвідки Ісуса Йордан Грушкняк помітив серйозну проблему з запропонованим патчем. Він створив MP4, щоб обійти патч і був зустрінутий з аварією, коли він був протестований.
Важливо відзначити, що всі поширені уразливості та експозиції (CVE) були виправлені, і Google призначив відкриття Exodus за допомогою CVE-2015-3864, тому він добре знає проблему.
Що таке Stagefright і чому це так небезпечно?
Згідно Zimperium:
«Ці вразливості надзвичайно небезпечні, оскільки вони не вимагають, щоб жертва вживала будь-які дії, які слід використовувати. На відміну від фішингу копій, де жертві необхідно відкрити файл PDF або посилання, надіслане зловмисником, ця уразливість може бути запущена під час сну ». Компанія продовжувала говорити:« Перед тим, як ви прокинетесь, зловмисник видалить будь-яку знаки пристрою, які скомпрометовані, і ви будете продовжувати свій день як звичайно - з троянським телефоном. "
Експлуатація Android Stagefright може використовувати недоліки в ОС Android, які вона використовує для обробки, відтворення та запису мультимедійних файлів.
Надсилаючи MMS-повідомлення, Stagefright може потрапити у ваш пристрій, а після зараження зловмисник отримує віддалений доступ до мікрофона, камери та зовнішнього сховища. У деяких випадках корінний доступ до пристрою також можна отримати.
Помилка Android Stagefright спочатку була відкрита компанією Zimperium zLabs VP досліджень платформи та експлуатації Joshua J. Drake у квітні. Пізніше він повідомив, що він і його команда вважають, що це "найгірші виявлені до сьогоднішнього дня вразливості до Android", і що "критично виявляє 95 відсотків пристроїв Android, приблизно 950 мільйонів пристроїв".
Zimperium повідомив Google про уразливості разом з патчами, і він діяв швидко, застосувавши патчі до внутрішніх філій коду протягом 48 годин.
Що ви можете зробити, доки не буде остаточного виправлення проблеми?
Перш за все, відповідайте лише на повідомлення з джерел, яким ви довіряєте. Крім того, вимкніть функцію автоматичного завантаження для MMS у SMS-повідомленнях, відеозустрічах Hangouts та відео на програмах, встановлених на пристрої.
Кожне додаток і пристрій мають своє місце розташування, але зазвичай вони знаходяться під налаштуваннями та завантаженням медіа. Якщо ви не можете знайти його для певної програми, зверніться до видавця програми.
Раніше в цьому місяці Google оголосив, що буде випускати щомісячні виправлення безпеки для пристроїв Android на конференції з безпеки Black Hat.
Компанія, яка вперше виявила Stagefright, має додаток, доступне в Google Play. Вона дає змогу дізнатися, чи є ваш пристрій вразливим, для якого CVE пристрій уразливий і чи потрібно оновити операційну систему для мобільних пристроїв. Це також тести для CVE-2015-3864, вразливості Exodus Intelligence ідентифіковані.
Android є найпопулярнішою платформою для мобільних ОС, але вона дуже фрагментована. Це означає, що не всім запущено останню ОС або оновлення безпеки, що ускладнює забезпечення захисту кожного пристрою Android.
Якщо виробник вашого смартфона не залатав ваш пристрій, візьміть справу в свої руки і переконайтеся, що у вас завжди є останнє оновлення для вашого пристрою.
Зображення: Детектор Stagefright / Lookout Mobile Security
Більше в: Google 3 Коментарі ▼
