Hirdetés

Egy új Android biztonsági rés miatt a biztonsági világ aggódik - és ezáltal rendkívül sebezhetővé teszi az Ön Android telefonját. A probléma hat hiba formájában jelentkezik egy ártalmatlan Android-modulban Lámpaláz, amelyet médialejátszáshoz használnak.

A StageFright hibák lehetővé teszik a hackerek által küldött rosszindulatú MMS-k számára, hogy a StageFright modulon belül futtassanak rosszindulatú programokat. Innentől kezdve a kód számos lehetőséggel rendelkezik az eszköz irányításának megszerzéséhez. Jelenleg 950 millió eszközhöz hasonlóan sebezhető ez a kihasználás.

Egyszerűen fogalmazva: a történelem legrosszabb Android sebezhetősége.

Csendes átvétel

Az Android felhasználók már egyre jobban fel vannak idegesítve a jogsértés miatt, és jó okból. A Twitter gyors átkutatása azt mutatja, hogy sok dühös felhasználó felbukkan, amikor a hírek átterjednek az interneten.

Amit hallottam, még a Nexus készülékek sem kaptak javítást #Lámpaláz. Van telefonod? http://t.co/bnNRW75TrD

- Thomas Brewster (@iblametom) 2015. július 27

instagram viewer

Ennek a támadásnak annyira félelmetes része, hogy kevés felhasználó tehet megvédeni magát a támadástól. Valószínűleg nem is tudnák, hogy a támadás történt.

Általában egy Android-eszköz megtámadásához meg kell engednie a felhasználót, hogy telepítsen egy rosszindulatú alkalmazást. Ez a támadás más: a támadónak egyszerűen tudnia kell a telefonszámát, és rosszindulatú multimédia üzenetet kell küldenie.

Attól függően, hogy melyik üzenetküldő alkalmazást használja, lehet, hogy még azt sem tudja, hogy az üzenet megérkezett. Például: ha az MMS-üzenetek átmennek Andoid Google Hangouts-beszélgetése A Google Hangouts használata az AndroidonA Google+ Hangouts a Google válasza a csevegőszobákra. Videó, audio és szöveges csevegés, valamint számos opcionális alkalmazás segítségével akár 12 ember is társaloghat. A társalgó elérhető az Android ... Olvass tovább , a rosszindulatú üzenet átveheti az irányítást és elrejtheti magát, mielőtt a rendszer még a felhasználót figyelmeztette volna, hogy megérkezett. Más esetekben előfordulhat, hogy a kizsákmányolás nem indul be, amíg az üzenetet ténylegesen meg nem nézik, de a legtöbb felhasználó egyszerűen ártalmatlannak írta le. spam szöveg Azonosítsa az ismeretlen számokat és blokkolja a spam szöveges üzeneteket a Truemessenger for Android rendszerrelA Truemessenger egy fantasztikusan új alkalmazás szöveges üzenetek küldésére és fogadására, és megmondhatja, ki ismeretlen szám, és letilthatja a levélszemetet. Olvass tovább vagy rossz számot.

Miután belépett a rendszerbe, a StageFright-on futó kód automatikusan hozzáféréssel rendelkezik a kamerához és a mikrofonhoz, valamint a bluetooth perifériákhoz és az SD-kártyán tárolt adatokhoz. Ez elég rossz, de (sajnos) ez csak a kezdet.

Míg az Android Lollipop végrehajtja számos biztonsági fejlesztés Az Android Lollipopra történő frissítés 8 módja biztonságosabbá teszi a telefontOkostelefonjaink tele vannak érzékeny információkkal, így hogyan tudnánk biztonságban tartani magunkat? Az Android Lollipop használatával, amely egy nagy ütést tartalmaz a biztonsági arénában, és olyan funkciókat hoz be, amelyek javítják a biztonságot. Olvass tovább , a legtöbb Android készülék továbbra is fut az operációs rendszer régebbi verziói Rövid útmutató az Android verziókhoz és frissítésekhez [Android]Ha valaki azt mondja neked, hogy Android-ot fut, akkor nem annyit mond, mint gondolnád. A nagy számítógépes operációs rendszerekkel ellentétben az Android egy széles operációs rendszer, amely számos verziót és platformot lefed. Ha szeretné ... Olvass tovább , és érzékenyek a „privilégiumok eszkalációs támadására” hívott dolgokra. Az Android alkalmazások általában:sandboxed Mi a homokozó, és miért kellene játszani egyben?Az erősen összekapcsolódó programok sokat tehetnek, de nyílt meghívást jelentenek a rossz hackerek számára is. A sztrájkok sikeres megakadályozása érdekében a fejlesztőknek minden egyes lyukat észlelniük és bezárniuk kell ... Olvass tovább ”, Amely lehetővé teszi számukra az operációs rendszernek csak azoknak a aspektusainak a elérését, amelyek kifejezett engedélyeik vannak számukra. A privilegizált eszkalációs támadások lehetővé teszik, hogy a rosszindulatú kódok „becsapják” az Android operációs rendszert, hogy egyre több hozzáférést kapjanak az eszközhöz.

Miután a rosszindulatú MMS átvette az irányítást a StageFright felett, felhasználhatja ezeket a támadásokat, hogy teljes mértékben átvegye az irányítást az idősebb, bizonytalan Android készülékek felett. Ez az eszköz biztonságának rémálmi forgatókönyve. Az egyetlen olyan eszköz, amely teljesen immunitást élvez a kérdés ellen, az Android 2.2 (Froyo) -nál régebbi operációs rendszereket futtató operációs rendszereken működik, amely az a verzió, amely először a StageFrightot vezette be.

Lassú válasz

A StageFright sebezhetőséget eredetileg áprilisban fedezte fel Zimperium zLabs, egy biztonsági kutatók csoportja. A kutatók jelentették a problémát a Google-nak. A Google gyorsan kiadott egy javítást a gyártók számára - azonban nagyon kevés eszközgyártó valójában rátette a javítást eszközére. A hibát felfedező kutató, Joshua Drake, úgy véli, hogy mintegy 950 millió a forgalomban lévő becsült egymilliárd androidos eszköz közül a sebezhető valamilyen formában.

Hurrá! @BlackHatEvents kegyesen elfogadtam beadványomat, hogy beszéljek a kutatásomat @Android's StageFright! https://t.co/9BW4z6Afmg

- Joshua J. Drake (@jduck) 2015. május 20

A Google saját eszközei, mint például a Nexus 6, Drake szerint részben javításra kerültek, bár bizonyos sebezhetőségek továbbra is fennállnak. A témáról szóló FORBES e-mailben a Google megnyugtatta a felhasználókat, hogy

„A legtöbb Android-eszköz, beleértve az újabb eszközöket is, több olyan technológiával rendelkezik, amelyek célja a felhasználás megnehezítése. Az Android készülékek tartalmaznak egy alkalmazás-homokozót is, amely a felhasználói adatok és az eszköz más alkalmazásai védelmére szolgál. ”

Ez azonban nem sok kényelmet jelent. Amíg Android Jellybean A 12 legnépszerűbb Jelly Bean tipp egy új Google Tablet-élményértAz Android Jelly Bean 4.2, amelyet eredetileg a Nexus 7-en szállítottak, nagyszerű új tablettaélményt nyújt, amely felülmúlja az Android korábbi verzióit. Még lenyűgözte az állandó Apple rajongóinkat. Ha van Nexus 7, ... Olvass tovább , az Android homokozója viszonylag gyenge volt, és számos ismert kihasználás felhasználható rá. Nagyon alapvető fontosságú, hogy a gyártók megfelelő javítást dolgozzanak ki erre a kérdésre.

Mit tudsz csinálni?

Sajnos a hardvergyártók rendkívül lassan hajthatják végre ezeket a kritikus biztonsági javításokat. Mindenképpen érdemes felvenni a kapcsolatot a készülék gyártójának ügyfélszolgálatával és kérni a becslést arról, hogy mikor lesznek javítások. Az állami nyomás valószínűleg elősegíti a dolgok felgyorsítását.

Drake részéről azt tervezi, hogy az eredményeit teljes mértékben feltárja a DEFCON-ban, egy nemzetközi biztonsági konferencián, amely augusztus elején kerül megrendezésre. Remélhetőleg a hozzáadott nyilvánosság arra készteti az eszközgyártókat, hogy gyors frissítéseket tegyenek közzé, most, hogy a támadás közismert.

Tágabb értelemben ez jó példa arra, hogy az Android töredezettsége miért ilyen biztonsági rémálom.

Ez ismét katasztrófa #Android A frissítések a hardvergyártók kezében vannak. Súlyosan kellene ártani az Androidnak. #Lámpaláz

- Mike? (@Mipesom) 2015. július 27

Egy olyan lezárt ökoszisztémán, mint például az iOS, egy ehhez szükséges javítás órákban kieshet. Az Androidon hónapok vagy évekre lehet szükség, hogy minden eszköz felkészüljen a sebességre, a hatalmas töredezettség miatt. Érdekel, hogy milyen megoldásokat kínál a Google az elkövetkező években, hogy elindítsa ezeket a biztonsági szempontból létfontosságú frissítéseket az eszközgyártók kezéből.

Ez a probléma Ön Android-felhasználót érint? Aggódik a magánélete miatt? Tudassa velünk gondolatait a hozzászólásokban!

Kép jóváírása: Háttérvilágítású billentyűzet írta: Wikimedia

A délnyugati székhelyű írónak és újságírónak garantáltan 50 Celsius-fokig képes működni és tizenkét láb mélységig vízálló.