Как 95% телефонов Android можно взломать с помощью одного текста

Новая уязвимость Android вызывает беспокойство в мире безопасности и делает ваш телефон Android чрезвычайно уязвимым. Проблема заключается в шести ошибках в безобидном модуле Android под названием StageFright, который используется для воспроизведения мультимедиа.

Ошибки StageFright допускают вредоносное MMS , отправленный хакером, для выполнения вредоносного кода внутри модуля StageFright. Оттуда у кода есть несколько вариантов получения контроля над устройством. На данный момент около 950 миллионов устройств уязвимы для этого эксплойта.

Проще говоря, это самая страшная уязвимость Android в истории.

Silent Takeover

Пользователи Android уже обеспокоены нарушением, и навсегда причина. Быстрое сканирование Twitter показывает, что многие разгневанные пользователи появляются, когда новости проникают в Интернет.

Насколько я слышал, даже устройствам Nexus не был предоставлен патч для #Stagefright. Телефон есть? http://t.co/bnNRW75TrD

— Томас Брюстер (@iblametom) 27 июля 2015 г.

Отчасти эта атака страшна что пользователи мало что могут сделать, чтобы защитить себя от этого. Скорее всего, они даже не узнали бы о нападении.

Обычно, чтобы атаковать устройство Android, вам нужно заставить пользователя установить вредоносное приложение. Эта атака отличается: злоумышленнику просто нужно знать ваш номер телефона и отправить вредоносное мультимедийное сообщение .

В зависимости от того, какое приложение для обмена сообщениями вы используете, вы можете даже не знать, что сообщение пришло. Например: если ваши MMS-сообщения проходят через Google Hangouts Andoid, вредоносное сообщение сможет взять под контроль и скрыться, прежде чем система даже предупредит пользователя о своем прибытии. В других случаях эксплойт может не сработать до тех пор, пока сообщение не будет фактически просмотрено, но большинство пользователей просто спишут его как безобидный текст спама или неправильный номер.

Попав внутрь системы, код, работающий в StageFright, автоматически получает доступ к камере и микрофону, а также к периферийным устройствам Bluetooth и любым данным, хранящимся на SD-карте. Это достаточно плохо, но (к сожалению) это только начало.

Хотя в Android Lollipop реализован ряд улучшений безопасности, на большинстве устройств Android по-прежнему используются более старые версии ОС, и они уязвимы для так называемого «повышения привилегий». атака. «Обычно приложения Android находятся в« песочнице », что позволяет им получать доступ только к тем аспектам ОС, на использование которых им было предоставлено явное разрешение. Атаки на повышение привилегий позволяют вредоносному коду« обмануть »операционную систему Android, чтобы дать ему больше и больше доступа к устройству.

После того, как вредоносное MMS получит контроль над StageFright, оно сможет использовать эти атаки для захвата полный контроль над старыми и небезопасными устройствами Android. Это кошмарный сценарий для безопасности устройств. Единственные устройства, полностью защищенные от этой проблемы, — это те, на которых установлены операционные системы более ранней версии, чем Android 2.2 (Froyo), которая впервые представила StageFright .

Медленный отклик

StageFright Первоначально уязвимость была обнаружена в апреле Zimperium zLabs, группой исследователей безопасности. Исследователи сообщили о проблеме в Google. Google quickl y выпустил патч для производителей, однако очень немногие производители устройств фактически установили патч на свои устройства. Исследователь, обнаруживший ошибку, Джошуа Дрейк, считает, что около 950 миллионов из примерно одного миллиарда находящихся в обращении устройств Android уязвимы для той или иной формы атаки.

Ура! @BlackHatEvents любезно принял мою заявку, чтобы рассказать о моем исследовании на @ Android’s StageFright! https://t.co/9BW4z6Afmg

— Джошуа Дж. Дрейк (@jduck) 20 мая 2015 г.

Собственные устройства Google, такие как Nexus 6 были частично исправлены, по словам Дрейка, хотя некоторые уязвимости остались. В электронном письме в адрес FORBES по этому поводу Google заверил пользователей, что:

«Большинство устройств Android, включая все новые устройства, имеют несколько технологий, разработанных для усложнения эксплуатации. Устройства Android также включают в себя изолированную программную среду, предназначенную для защиты пользовательских данных и других приложений на устройстве »,

Однако это не очень удобно. До Android Jellybean песочница в Android была относительно слабой, и есть несколько известных эксплойтов, которые можно использовать для ее обхода. Очень важно, чтобы производители выпустили соответствующий патч для решения этой проблемы.

Что вы можете сделать?

К сожалению, производители оборудования могут очень медленно развертывать такие критически важные исправления безопасности. Безусловно, стоит связаться с отделом поддержки клиентов производителя вашего устройства и узнать, когда будут доступны исправления. Общественное давление, вероятно, поможет ускорить процесс.

Что касается Дрейка, он планирует раскрыть все свои выводы на DEFCON, международной конференции по безопасности, которая займет место в начале августа. Будем надеяться, что повышенная огласка подтолкнет производителей устройств к быстрому выпуску обновлений, поскольку об атаке стало известно.

В более широком смысле, это хороший пример того, почему фрагментация Android является таким кошмаром безопасности.

И снова катастрофа, что обновления #Android находятся в руках производителей оборудования. Должен серьезно повредить Android. #Stagefright

— Mike ⌛ (@mipesom) 27 июля 2015 г.

В заблокированной экосистеме, такой как iOS, патч для этого может быть запущен в считанные часы. На Android из-за огромного уровня фрагментации на то, чтобы довести каждое устройство до нужной скорости, могут потребоваться месяцы или годы. Мне интересно узнать, какие решения Google предложит в ближайшие годы, чтобы вывести эти важные для безопасности обновления из рук производителей устройств.

Являетесь ли вы пользователем Android, затронутой этой проблемой? Обеспокоены своей конфиденциальностью? Сообщите нам свои мысли в комментариях!

Изображение предоставлено: Клавиатура с подсветкой от Викимедиа

Оцените статью
cuterful.ru
Добавить комментарий