Wygląda na to, że Stagefright znowu uderza.
Błąd bezpieczeństwa, który żerował na telefonach z systemem Android OS w wersjach od 2.2 do 4, teraz wzrósł do ataków na urządzenia z Androidem 5.0 i nowszym.
Joshua J. Drake, wiceprezes ds. Badań Zimperium zLabs, znalazł kolejny problem bezpieczeństwa w systemie Android o nazwie Stagefright 2.0. Drake twierdzi, że są dwie luki, które mogą się zdarzyć podczas przetwarzania specjalnie spreparowanych plików MP3 audio i MP4.
$config[code] not foundNajwyraźniej w plikach MP3 i MP4 znajduje się funkcja umożliwiająca zdalne wykonywanie kodu (RCE). Oznacza to w zasadzie, że zainfekowane pliki MP3 i MP4 mogą dać komuś dostęp do uruchomienia zadania na telefonie z Androidem. Nawet po prostu podgląd złośliwej piosenki lub filmu może narazić telefon na ryzyko.
Drake mówi w swoim poście na blogu, że najbardziej wrażliwe podejście do telefonu z systemem Android to przeglądarka internetowa, z trzema różnymi sposobami, w jaki haker może wykorzystać błąd bezpieczeństwa.
Po pierwsze, osoba atakująca może spróbować zachęcić użytkownika Androida do odwiedzenia adresu URL, który naprawdę doprowadzi do witryny kontrolowanej przez osobę atakującą. Można to zrobić na przykład w kampanii reklamowej. Po zwabieniu ofiara zostanie narażona na zainfekowany plik MP3 lub MP4.
Podobnie atakujący może użyć aplikacji innej firmy, np. Odtwarzacza multimedialnego. W tym przypadku jest to aplikacja zawierająca jeden z tych złośliwych plików.
Ale istnieje trzecia możliwość, w której haker może wybrać inną trasę.
Załóżmy, że haker i użytkownik Androida używają tego samego WiFi. Haker nie musiałby wtedy nakłaniać użytkownika do odwiedzenia adresu URL lub otwarcia aplikacji innej firmy. Zamiast tego wszystko, co musieliby zrobić, to wstrzyknąć exploit do niezaszyfrowanego ruchu sieciowego użytkownika używanego przez przeglądarkę.
Oryginalny bug Stagefright - który również został wykryty przez Drake'a na początku tego roku - otworzył telefon z Androidem na tę lukę w wiadomościach tekstowych zawierających złośliwe oprogramowanie.
Jeśli haker znał Twój numer telefonu, może zostać wysłana wiadomość tekstowa zawierająca złośliwy plik multimedialny. Tekst może następnie umożliwić hakerom dostęp do danych i zdjęć użytkownika, a nawet umożliwić dostęp do funkcji takich jak kamera lub mikrofon telefonu.
Użytkownicy mogą zostać dotknięci i nawet o tym nie wiedzą.
Łata została wydana dla oryginalnego błędu Stagefright niezbyt długo po wykryciu luki.Było jednak kilka problemów z łatką. Niektóre raporty wskazują, że łata może powodować awarię telefonu w niektórych przypadkach, gdy wiadomość multimedialna jest otwarta.
Drake mówi, że powiadomił Androida o zagrożeniu i stwierdził, że Android został szybko usunięty, chociaż nie podał jeszcze numeru CVE, aby śledzić ten najnowszy problem. Google wprowadza poprawkę dotyczącą Stagefright w biuletynie Nexus Security Bulletin opublikowanym w tym tygodniu.
Jeśli nie masz pewności, czy Twoje urządzenie z Androidem jest zagrożone, możesz pobrać aplikację Zimperium Inc. Stagefright Detector, aby sprawdzić luki w zabezpieczeniach.
Android Lollipop Photo przez Shutterstock
Więcej w: Google 2 Komentarze ▼
