Dacă aveți un dispozitiv Android, probabil că sunteți bine conștient de bug-ul Stagefright.
Telefoanele Google, Samsung, HTC, LG, Sony și Blackphone, precum și diferiții operatori au lansat un patch pentru Stagefright, dar se pare că nu este suficient.
Firma de securitate Exodus Intelligence a descoperit o greșeală într-un anumit cod de sursă, care a fost responsabil pentru crashing un dispozitiv atunci când datele într-un mesaj multimedia a fost deschis. Și, potrivit companiei, ar putea fi exploatată.
$config[code] not foundLa rîndul său, Exodus a spus:
"A fost atrasă o atenție prea mare atenției asupra bug-ului - credem că probabil că nu s-ar putea să fie singurii care au observat că este defectuoasă. Alții ar putea avea intenții dăunătoare "
Un fișier video malformat MP4 se blochează chiar și în bibliotecile patrate Android Stagefright, lăsând dispozitive pe care le rulează vulnerabile la atac.
Această problemă a fost descoperită în jurul datei de 31 iulie, când cercetătorul de securitate Exodus Intelligence, Jordan Gruskovnjak, a observat o problemă gravă cu plasturele propus. El a creat un MP4 pentru a ocoli patch-ul și a fost întâmpinat cu un accident când a fost testat.
Este important să menționăm că toate vulnerabilitățile și expunerile comune (CVE) au fost patch-uri, iar Google a atribuit descoperirea Exodus cu CVE-2015-3864, deci este conștient de această problemă.
Ce este Stagefright și de ce este atât de periculoasă?
Potrivit lui Zimperium:
"Aceste vulnerabilități sunt extrem de periculoase deoarece nu necesită ca victima să ia orice acțiune pentru a fi exploatată. Spre deosebire de phishing-ul cu sulițe, unde victima trebuie să deschidă un fișier PDF sau un link trimis de atacator, această vulnerabilitate poate fi declanșată în timpul somnului. "Compania a continuat să spună:" Înainte de a vă trezi, atacatorul va elimina orice semnele dispozitivului fiind compromise și veți continua ziua, ca de obicei - cu un telefon cu troian. "
Exploatarea Android Stagefright este capabilă să utilizeze defecte în sistemul de operare Android pe care îl folosește pentru a procesa, reda și înregistra fișiere multimedia.
Prin trimiterea unui MMS, Stagefright poate intra în dispozitivul dvs. și, odată ce este infectat, atacatorul obține accesul de la distanță la microfon, cameră și spațiu de stocare extern. În unele cazuri, accesul rădăcină la dispozitiv poate fi de asemenea dobândit.
Bug-ul Android Stagefright a fost descoperit inițial de Zimperium zLabs VP în cadrul Platformei de Cercetare și Exploatare Joshua J. Drake, în luna aprilie. El a spus că el și echipa sa cred că este "cele mai grave vulnerabilități Android descoperite până în prezent", și că "critic expune 95% din dispozitivele Android, estimate la 950 milioane de dispozitive".
Zimperium a raportat vulnerabilitatea la Google împreună cu patch-urile și a acționat rapid prin aplicarea patch-urilor la ramurile de cod intern în 48 de ore.
Ce puteți face până când nu există o remediere definitivă a problemei?
Mai întâi de toate, răspundeți doar la mesaje din surse în care aveți încredere. În plus, dezactivați caracteristica de descărcare automată pentru MMS pe SMS, Hangouts și videoclipuri pe aplicațiile pe care le-ați instalat pe dispozitiv.
Fiecare aplicație și dispozitiv are o locație proprie, dar este, în general, sub setări și descărcare media. Dacă nu îl puteți găsi pentru aplicația dvs., contactați editorul aplicației.
La începutul acestei luni, Google a anunțat că va lansa patch-uri de securitate lunare pentru dispozitivele Android la conferința de securitate Black Hat, urmată de Samsung.
Compania care a descoperit pentru prima oară Stagefright are o aplicație disponibilă pe Google Play. Vă permite să știți dacă dispozitivul dvs. este vulnerabil, la care aparatele CVE sunt vulnerabile și dacă trebuie să vă actualizați sistemul de operare mobil. De asemenea, testează pentru CVE-2015-3864, vulnerabilitatea identificată de Exodus Intelligence.
Android este cea mai populară platformă de operare pentru dispozitive mobile, dar este foarte fragmentată. Acest lucru înseamnă că nu toată lumea execută ultimul sistem de operare sau actualizare de securitate, ceea ce face foarte dificil să se asigure că fiecare dispozitiv Android este protejat.
Dacă producătorul smartphone-ului nu ți-a fixat dispozitivul, luați-l în propriile mâini și asigurați-vă că aveți cea mai recentă actualizare a dispozitivului în permanență.
Imagine: detector Stagefright / Lookout Mobile Security
Mai multe în: Google 3 Comentarii ▼
