Pokud máte zařízení Android, pravděpodobně si dobře uvědomujete chybu Stagefright.
Mobilní telefony Google, Samsung, HTC, LG, Sony a Blackphone, stejně jako různé nosiče, vydaly pro Stagefright náplast, ale zřejmě nemusí stačit.
Bezpečnostní firma Exodus Intelligence odhalila chybu v konkrétním vylepšení zdrojového kódu, který byl zodpovědný za zhroucení zařízení při otevření dat v multimediální zprávě. A podle společnosti by to mohlo být využito.
$config[code] not foundZe své strany Exodus řekl:
"Na chybu byla věnována nesmírná pozornost - věříme, že pravděpodobně ne jediní, kteří si všimli, že je chyba. Jiní mohou mít zákeřné úmysly, "
Špatně formátovaný video soubor MP4 narazí dokonce i do patchovaných knihoven Android Stagefright a ponechává zařízení, na kterých jsou zranitelní, aby mohli napadnout.
Tento konkrétní problém byl objeven kolem 31. července, kdy výzkumný pracovník společnosti Exodus Intelligence Security Jordan Gruskovnjak zaznamenal vážný problém s navrhovanou opravou. Vytvořil MP4, aby obešel náplasť, a když byl testován, byl přivítán havárií.
Je důležité si uvědomit, že všechny chyby zabezpečení (CVE) byly patchovány a společnost Google přidělila objev Exodus CVE-2015-3864, takže si je dobře vědom tohoto problému.
Takže co je Stagefright a proč je to tak nebezpečné?
Podle Zimperia:
"Tyto zranitelnosti jsou extrémně nebezpečné, protože nevyžadují, aby oběť podnikla jakoukoli akci, která by mohla být zneužita. Na rozdíl od spear-phishing, kde oběť potřebuje otevřít soubor PDF nebo odkaz odeslaný útočníkem, může tato chyba spustit během spánku. "Společnost pokračuje slovy:" Než se probudíte, útočník odstraní všechny znaky zařízení jsou ohroženy a budete pokračovat ve svém dni jako obvykle - s trojanem telefonem. "
Aplikace Android Stagefright využívá v operačním systému OS Android chyby, které používá k zpracování, přehrávání a nahrávání multimediálních souborů.
Odesláním zprávy MMS se Stagefright může dostat do vašeho zařízení a poté, co je infikován, získá útočník vzdálený přístup k mikrofonu, fotoaparátu a externímu úložišti. V některých případech může být také přístup k zařízení root.
Chyba platformy Android Stagefright byla původně objevena v dubnu v Zimperium zLabs VP Platform Platform Research and Exploitation Joshua J. Drake. On později řekl, že on a jeho tým věří, že je to "nejhorší zranitelná místa s Androidem" a že "kriticky odhalí 95 procent zařízení Android, odhadovaných 950 milionů zařízení."
Společnost Zimperium informovala o chybě zabezpečení společnosti Google společně s opravami a rychle reagovala tak, že do patnácti hodin použila patche k interním kódům.
Co můžete dělat, dokud neexistuje konečná oprava problému?
Nejprve odpovězte pouze na zprávy ze zdrojů, kterým důvěřujete. Funkci automatického stahování MMS na SMS, Hangouty a videa můžete dále zakázat v aplikacích, které jste nainstalovali v zařízení.
Každá aplikace a zařízení má své vlastní umístění, ale je obvykle pod nastavením a stažením médií. Pokud ji nemůžete najít pro konkrétní aplikaci, obraťte se na vydavatele aplikace.
Začátkem tohoto měsíce oznámila společnost Google, že na bezpečnostní konferenci Black Hat vydává měsíční bezpečnostní záplaty pro zařízení Android.
Společnost, která poprvé objevila společnost Stagefright, má aplikaci dostupná v Google Play. Umožňuje vám vědět, zda je vaše zařízení zranitelné, na které zařízení CVE je vaše zařízení zranitelné a zda potřebujete aktualizovat mobilní operační systém. Testuje také CVE-2015-3864, zjistila se zranitelnost Exodus Intelligence.
Android je nejoblíbenější platformou mobilního operačního systému, ale je velmi roztříštěná. To znamená, že ne každý provozuje nejnovější verzi operačního systému nebo zabezpečení, což činí velmi obtížné zajistit, aby každé zařízení Android bylo chráněno.
Pokud výrobce vašeho smartphonu nezapadl do vašeho zařízení, vezměte si věci do vlastních rukou a ujistěte se, že máte stále aktuální verzi svého zařízení.
Obrázek: Stagefright Detector / Lookout Mobile Security
Více v: Google 3 Komentáře ▼
