reklama
Nová chyba zabezpečení systému Android má svět zabezpečení strach - a váš telefon se systémem Android je tak extrémně zranitelný. Tento problém přichází ve formě šesti chyb v neškodném modulu Android s názvem Tréma, který se používá pro přehrávání médií.
Chyby StageFright umožňují škodlivému MMS odeslanému hackerem provádět škodlivý kód uvnitř modulu StageFright. Odtud má kód řadu možností pro získání kontroly nad zařízením. Od této chvíle je něco takového jako 950 milionů zařízení zranitelných.
Jde jednoduše o nejhorší zranitelnost Androidu v historii.
Tiché převzetí
Uživatelé systému Android již z rozrušení z dobrého důvodu naštvaní. Rychlá kontrola Twitteru ukazuje, jak se mnoho zpráv rozzlobilo, když zprávy pronikají na web.
Z toho, co jsem slyšel, ani zařízení Nexus nedostala záplatu #Tréma. Máte nějaký telefon? http://t.co/bnNRW75TrD
- Thomas Brewster (@iblametom) 27. července 2015
Součástí tohoto útoku je tak strašidelné, že je jen málo uživatelů, kteří se mohou proti němu bránit. Pravděpodobně by ani nevěděli, že k útoku došlo.
K útoku na zařízení Android je obvykle nutné, aby uživatel nainstaloval škodlivou aplikaci. Tento útok je jiný: útočník jednoduše potřebuje znát vaše telefonní číslo a odeslat škodlivou multimediální zprávu.
V závislosti na tom, kterou aplikaci pro zasílání zpráv používáte, možná ani nevíte, že zpráva dorazila. Například: pokud vaše zprávy MMS procházejí Google Hangouts od Andoida Jak používat Google Hangouts na vašem AndroiduGoogle+ Hangouts je odpovědí společnosti Google na chatovací místnosti. Pomocí videohovoru, zvuku a textového chatu, jakož i několika volitelných aplikací, se můžete setkat s až 12 lidmi. Hangout je k dispozici na vašem Androidu ... Přečtěte si více , škodlivá zpráva by byla schopna převzít kontrolu a skrýt se před tím, než systém uživatele upozorní, že dorazil. V jiných případech se zneužití nemusí spustit, dokud se zpráva skutečně nezobrazí, ale většina uživatelů ji jednoduše odepíše jako neškodnou spam text Identifikujte neznámá čísla a blokujte textové zprávy se spamem pomocí Truemessenger pro AndroidTruemessenger je fantastická nová aplikace pro odesílání a přijímání textových zpráv, a to vám může říct, kdo je neznámé číslo a blokovat spam. Přečtěte si více nebo špatné číslo.
Jakmile je systém uvnitř, má kód běžící ve StageFright automaticky přístup k fotoaparátu a mikrofonu, stejně jako k periferním zařízením Bluetooth a ke všem datům uloženým na SD kartě. To je dost špatné, ale (bohužel) je to jen začátek.
Zatímco Android Lollipop implementuje řada vylepšení zabezpečení 8 způsobů upgradu na Android Lollipop zvyšuje bezpečnost telefonuNaše chytré telefony jsou plné citlivých informací, tak jak se můžeme udržet v bezpečí? S platformou Android Lollipop, která přináší velkou punč v aréně zabezpečení, přináší funkce, které zlepšují zabezpečení napříč deskou. Přečtěte si více , většina zařízení Android je stále běží starší verze operačního systému Stručný průvodce k verzi a aktualizacím pro Android [Android]Pokud vám někdo řekne, že používají systém Android, neříká to, co si myslíte. Na rozdíl od hlavních počítačových operačních systémů je Android širokým operačním systémem, který pokrývá četné verze a platformy. Pokud chcete ... Přečtěte si více a jsou zranitelní vůči něčemu, co se nazývá „privilegovaný eskalační útok“. Aplikace pro Android jsou obvykle „pískoviště Co je to pískoviště a proč byste měli hrát v jednomVysoce spojivé programy dokážou hodně, ale jsou také otevřenou pozvánkou pro zasažení špatných hackerů. Aby se zabránilo stávkám, aby se staly úspěšnými, musel by vývojář najít a zavřít každou jednotlivou díru ... Přečtěte si více “, Což jim umožňuje přístup pouze k těm aspektům operačního systému, kterým bylo uděleno výslovné povolení k použití. Únikové eskalační útoky umožňují škodlivému kódu „oklamat“ operační systém Android tak, aby mu poskytoval stále větší přístup k zařízení.
Jakmile nebezpečná MMS převzala kontrolu nad StageFright, mohla by pomocí těchto útoků získat úplnou kontrolu nad staršími, nezabezpečenými zařízeními Android. Toto je scénář noční můry pro zabezpečení zařízení. Jediná zařízení, která jsou vůči tomuto problému zcela imunní, jsou ta, která používají operační systémy starší než Android 2.2 (Froyo), což je verze, která na prvním místě uvedla StageFright.
Pomalá odezva
Zranitelnost StageFright byla původně odhalena v dubnu Zimperium zLabs, skupina bezpečnostních vědců. Vědci tento problém nahlásili společnosti Google. Google rychle uvolnil opravu výrobcům - nicméně jen velmi málo výrobců zařízení ji opravilo do svých zařízení. Výzkumník, který chybu objevil, Joshua Drake, věří, že asi 950 milionů z odhadované jedné miliardy Android zařízení v oběhu jsou zranitelná vůči nějaké formě útoku.
Yay! @BlackHatEvents laskavě přijal můj příspěvek, abych mluvil o svém výzkumu @AndroidStageFright! https://t.co/9BW4z6Afmg
- Joshua J. Drake (@jduck) 20. května 2015
Vlastní zařízení Google, jako je Nexus 6, byla podle Drake částečně opravena, i když některé chyby stále přetrvávají. V e-mailu na toto téma FORBES společnost Google ujistila uživatele, že
„Většina zařízení Android, včetně všech novějších zařízení, má více technologií, které jsou navrženy tak, aby ztěžovaly využití. Zařízení Android také obsahují aplikační karanténu navrženou k ochraně uživatelských dat a dalších aplikací v zařízení, “
To však není moc pohodlí. Dokud Android Jellybean Top 12 želé Bean Tipy pro nové zkušenosti s tabletem GoogleAndroid Jelly Bean 4.2, původně dodávaný na Nexus 7, poskytuje skvělý nový zážitek z tabletu, který zastarává předchozí verze systému Android. Dokonce to zapůsobilo na našeho rezidentního fanouška Apple. Pokud máte zařízení Nexus 7, ... Přečtěte si více , karanténa v Androidu byla relativně slabá a existuje několik známých exploitů, které lze použít k jejímu obcházení. Je opravdu důležité, aby výrobci pro tento problém zavedli správnou opravu.
Co můžeš udělat?
Výrobci hardwaru bohužel mohou být extrémně pomalí při zavádění těchto nejrůznějších bezpečnostních záplat. Určitě stojí za to obrátit se na oddělení zákaznické podpory výrobce vašeho zařízení a požádat o odhad, kdy budou opravy k dispozici. Veřejný tlak pravděpodobně pomůže věci urychlit.
Pokud jde o Drakea, plánuje odhalit plný rozsah svých zjištění na mezinárodní konferenci o bezpečnosti DEFCON, která se koná začátkem srpna. Doufejme, že přidaná reklama pobídne výrobce zařízení k rychlému vydání aktualizací, nyní, když je útok všeobecně znám.
Obecně řečeno, je to dobrý příklad toho, proč je fragmentace Androidu takovou noční můrou.
Opět je to katastrofa #Android aktualizace jsou v rukou výrobců hardwaru. Měl by vážně poškodit Android. #Tréma
- Mike? (@mipesom) 27. července 2015
Na uzamčeném ekosystému, jako je iOS, by mohla být náplast za to vyhozena za několik hodin. V systému Android může trvat až měsíce nebo roky, než se každé zařízení zrychlí kvůli obrovské úrovni fragmentace. Zajímalo by mě, jaká řešení Google přichází v příštích letech, aby mohla začít tyto aktualizace, které jsou důležité pro zabezpečení, dostat z rukou výrobců zařízení.
Jste tímto problémem ovlivněn uživatel systému Android? Zajímá vás vaše soukromí? Dejte nám vědět vaše myšlenky v komentářích!
Obrazový kredit: Podsvícená klávesnice Wikimedia
Andrej je spisovatel a novinář se sídlem na jihozápadě, s garantovanou funkčností do 50 stupňů Celcius a je vodotěsný do hloubky dvanácti stop.
