Reklama

Nová chyba zabezpečenia systému Android znepokojuje svet zabezpečenia - a váš telefón s Androidom tak zostáva mimoriadne zraniteľný. Tento problém prichádza vo forme šiestich chýb v neškodnom module Android s názvom Tréma, ktorý sa používa na prehrávanie médií.

Chyby StageFright umožňujú škodlivému MMS, zaslanému hackerom, na vykonanie škodlivého kódu vo vnútri modulu StageFright. Odtiaľ má kód množstvo možností na získanie kontroly nad zariadením. V súčasnosti je na toto zneužitie zraniteľné niečo ako 950 miliónov zariadení.

Je to, jednoducho povedané, najhoršia zraniteľnosť systému Android v histórii.

Tiché prevzatie

Používatelia systému Android už z tohto dôvodu a z dobrého dôvodu rozčuľujú. Rýchle skenovanie Twitteru ukazuje, ako sa správa prenikne na web, objavuje sa mnoho rozčúlených používateľov.

Z toho, čo som počul, ani zariadenia Nexus nedostali záplatu #Tréma. Máte telefón? http://t.co/bnNRW75TrD

- Thomas Brewster (@iblametom) 27. júla 2015

Súčasťou tohto útoku je tak strašidelné, že je len málo používateľov, ktorí sa môžu proti nemu chrániť. Pravdepodobne by ani nevedeli, že k útoku došlo.

instagram viewer

Ak chcete zaútočiť na zariadenie so systémom Android, musíte zvyčajne prinútiť používateľa, aby si nainštaloval škodlivú aplikáciu. Tento útok je iný: Útočník by jednoducho musel poznať vaše telefónne číslo a odoslať škodlivú multimediálnu správu.

V závislosti od toho, ktorú aplikáciu správ používate, možno ani neviete, že správa prišla. Napríklad: ak vaše správy MMS prechádzajú Hangouty spoločnosti Google od spoločnosti Andoid Ako používať službu Google Hangouts na vašom systéme AndroidGoogle+ Hangouts je odpoveďou spoločnosti Google na chatovacie miestnosti. Môžete sa stretnúť až s 12 ľuďmi pomocou videorozhovoru, zvukového a textového chatu a niekoľkých voliteľných aplikácií. Hangout je k dispozícii na vašom Android ... Čítaj viac , škodlivá správa by bola schopná prevziať kontrolu a skryť sa skôr, ako systém upozorní používateľa, že prišiel. V iných prípadoch sa zneužitie nemusí začať, kým sa správa skutočne nezobrazí, ale väčšina používateľov ju jednoducho napíše ako neškodnú spamový text Identifikujte neznáme čísla a blokujte textové správy proti spamu pomocou Truemessenger pre AndroidTruemessenger je fantastická nová aplikácia na odosielanie a prijímanie textových správ. Môže vám povedať, kto je neznáme a blokovať spam. Čítaj viac alebo nesprávne číslo.

Akonáhle ste v systéme, kód bežiaci v systéme StageFright má automaticky prístup k fotoaparátu a mikrofónu, ako aj k periférnym zariadeniam Bluetooth a všetkým údajom uloženým na karte SD. To je dosť zlé, ale (bohužiaľ) je to len začiatok.

Kým Android Lollipop implementuje množstvo bezpečnostných vylepšení 8 spôsobov inovácie na Android Lollipop robí váš telefón bezpečnejšímNaše smartfóny sú plné citlivých informácií, tak ako sa môžeme udržať v bezpečí? S Android Lollipop, ktorý zaberá veľké miesto v bezpečnostnej aréne a prináša funkcie, ktoré zlepšujú bezpečnosť vo všetkých smeroch. Čítaj viac , väčšina zariadení Android je stále beží staršie verzie OS Stručný sprievodca verziami a aktualizáciami pre Android [Android]Ak vám niekto povie, že používa systém Android, nehovorí toľko, ako si myslíte. Na rozdiel od hlavných počítačových operačných systémov je Android širokým operačným systémom, ktorý pokrýva množstvo verzií a platforiem. Ak by ste chceli ... Čítaj viac a sú citlivé na niečo, čo sa nazýva „privilegovaný eskalačný útok“. Aplikácie pre Android sú zvyčajne „sandboxed Čo je to pieskovisko a prečo by ste mali hrať v jednomVysoko konektívne programy dokážu veľa, ale sú tiež otvorenou pozvánkou na zasiahnutie zlých hackerov. Aby sa zabránilo úspechu štrajku, vývojár by musel zistiť a uzavrieť každú jednotlivú dieru v ... Čítaj viac “, Ktorá im umožňuje prístup iba k tým aspektom operačného systému, ktorým bolo udelené výslovné povolenie na používanie. Útoky s eskaláciou oprávnení umožňujú škodlivému kódu „oklamať“ operačný systém Android tak, aby mu poskytoval čoraz väčší prístup k zariadeniu.

Keď škodlivá MMS prevzala kontrolu nad StageFright, mohla by pomocou týchto útokov získať úplnú kontrolu nad starými nezabezpečenými zariadeniami Android. Toto je scenár nočnej mory pre zabezpečenie zariadenia. Jediné zariadenia, ktoré sú úplne odolné voči tomuto problému, sú tie, ktoré používajú operačné systémy staršie ako Android 2.2 (Froyo), čo je verzia, ktorá na prvom mieste uviedla program StageFright.

Pomalá reakcia

Chyba zabezpečenia StageFright bola pôvodne odhalená v apríli Zimperium zLabs, skupina výskumných pracovníkov v oblasti bezpečnosti. Vedci nahlásili tento problém spoločnosti Google. Spoločnosť Google rýchlo vydala opravu výrobcom - len veľmi málo výrobcov zariadení ju však skutočne prenieslo na svoje zariadenia. Vedec, ktorý objavil chybu, Joshua Drake, verí, že asi 950 miliónov odhadovaná miliarda zariadení s Androidom v obehu je citlivá na určitú formu útoku.

Jéj! @BlackHatEvents milostivo prijal môj príspevok, aby som mohol hovoriť o svojom výskume @AndroidStageFright! https://t.co/9BW4z6Afmg

- Joshua J. Drake (@jduck) 20. mája 2015

Vlastné zariadenia spoločnosti Google, ako je Nexus 6, boli podľa Drake čiastočne opravené, aj keď niektoré chyby stále pretrvávajú. V e-maile adresovanom FORBES na túto tému spoločnosť Google ubezpečila používateľov, že

„Väčšina zariadení s Androidom, vrátane všetkých novších zariadení, má viacero technológií, ktoré sú navrhnuté tak, aby sťažili využívanie. Súčasťou zariadení s Androidom je aj karanténa aplikácií navrhnutá na ochranu údajov používateľa a iných aplikácií v zariadení, “

To však nie je veľa pohodlia. kým Android Jellybean 12 najlepších tipov na želé pre nové skúsenosti s tabletom GoogleAndroid Jelly Bean 4.2, pôvodne dodávaný na telefóne Nexus 7, poskytuje skvelý nový zážitok z tabletu, ktorý zastaráva predchádzajúce verzie systému Android. Dokonca to zapôsobilo na nášho domáceho fanúšika Apple. Ak máte zariadenie Nexus 7, ... Čítaj viac , karanténa v systéme Android bola pomerne slabá a existuje niekoľko známych výhod, ktoré sa dajú použiť na jej obídenie. Je skutočne dôležité, aby výrobcovia zaviedli pre tento problém správny patch.

Čo môžeš urobiť?

Výrobcovia hardvéru môžu nanešťastie zavádzať tieto druhy kritických bezpečnostných opráv veľmi pomaly. Určite sa oplatí kontaktovať oddelenie zákazníckej podpory výrobcu vášho zariadenia a požiadať o odhad, kedy budú opravy k dispozícii. Tlak verejnosti pravdepodobne pomôže veci urýchliť.

Čo sa týka Drake, plánuje odhaliť plný rozsah svojich zistení na medzinárodnej bezpečnostnej konferencii DEFCON, ktorá sa uskutoční začiatkom augusta. Dúfajme, že pridaná publicita povzbudí výrobcov zariadení k rýchlemu vydávaniu aktualizácií, keď je už útok všeobecne známy.

Vo všeobecnejšej rovine je to dobrý príklad toho, prečo je fragmentácia systému Android takou nočnou morou.

Opäť je to katastrofa #Android aktualizácie sú v rukách výrobcov hardvéru. Mal by poškodiť Android vážne. #Tréma

- Mike? (@Mipesom) 27. júla 2015

Na uzamknutom ekosystéme, ako je iOS, by sa náplasť na to mohla vyraziť o niekoľko hodín. V systéme Android môže trvať mesiace alebo roky, kým sa všetky zariadenia prispôsobia rýchlosti kvôli enormnej úrovni fragmentácie. Zaujíma ma, aké riešenia Google prichádza v najbližších rokoch, aby mohla začať poskytovať tieto dôležité informácie o bezpečnosti z rúk výrobcov zariadení.

Ste tento problém ovplyvnený používateľom systému Android? Zaujíma vás vaše súkromie? Dajte nám vedieť vaše myšlienky v komentároch!

Obrázkový kredit: Podsvietená klávesnica podľa Wikimedia

Andrej, spisovateľ a novinár so sídlom na juhozápade, má zaručenú funkčnosť do 50 stupňov Celzia a je vodotesný do hĺbky 12 stôp.