Oglas

Nova ranljivost sistema Android skrbi svet varnosti - in vaš telefon Android pušča izjemno ranljiv. Izdaja je v obliki šestih napak v neškodljivem modulu Android Trema, ki se uporablja za predvajanje medijev.

Napake StageFright omogočajo zlonamerni MMS, ki jo pošilja heker, izvajanje škodljive kode znotraj modula StageFright. Od tam ima koda številne možnosti za nadzor nad napravo. Od tega izkoriščanja je do zdaj občutljivih nekaj 950 milijonov naprav.

Preprosto povedano, to je najslabša ranljivost za Android v zgodovini.

Tihi prevzem

Uporabniki Androida se že razburijo zaradi kršitve in to z dobrim razlogom. Hitro pregledovanje Twitterja pokaže, da se številni uporabniki razjarjajo, ko novice prežemajo splet.

Kot slišim, tudi naprave Nexus niso dobili popravka #Trema. Ali ima telefon? http://t.co/bnNRW75TrD

- Thomas Brewster (@iblametom) 27. julij 2015

Del tega napada je tako strašen, da je malo uporabnikov, ki se lahko zaščitijo pred njim. Verjetno sploh ne bi vedeli, da se je napad zgodil.

instagram viewer

Običajno za napad na napravo Android morate uporabnika namestiti zlonamerno aplikacijo. Ta napad je drugačen: napadalec bi moral preprosto poznati svojo telefonsko številko in poslati zlonamerno večpredstavnostno sporočilo.

Glede na to, katero aplikacijo za sporočila uporabljate, morda sploh ne veste, da je sporočilo prispelo. Na primer: če gredo vaša sporočila MMS Andoid's Google Hangouts Kako uporabljati Google Hangouts v svojem AndroiduGoogle+ Hangouts je Googlov odgovor na klepetalnice. V videu, zvoku in besedilnem klepetu ter več izbirnih aplikacij se lahko družite z do 12 osebami. Pogovor Hangout je na voljo v sistemu Android ... Preberi več , zlonamerno sporočilo bo lahko prevzelo nadzor in se skrijelo, preden je sistem uporabnika celo opozoril, da je prispelo. V drugih primerih eksploatacija morda ne bo začela, dokler sporočila dejansko ni videti, vendar bi ga večina uporabnikov preprosto odpisala kot neškodljivo neželeno besedilo Prepoznajte neznane številke in blokirajte neželena besedilna sporočila s Truemessengerjem za AndroidTruemessenger je fantastična nova aplikacija za pošiljanje in prejemanje besedilnih sporočil in lahko pove, kdo je neznana številka, in blokira neželeno pošto. Preberi več ali napačna številka.

Ko je znotraj sistema, koda, ki se izvaja v sistemu StageFright, samodejno dostopa do kamere in mikrofona, pa tudi do zunanje naprave Bluetooth in vseh podatkov, shranjenih na kartici SD. To je dovolj slabo, ampak (na žalost) je to šele začetek.

Medtem ko Android Lollipop izvaja številne varnostne izboljšave 8 načinov nadgradnje na Android Lollipop naredi vaš telefon bolj varenNaši pametni telefoni so polni občutljivih informacij, kako se lahko zaščitimo? S sistemom Android Lollipop, ki v varnostni areni pripelje velik udarec, prinaša funkcije, ki izboljšujejo varnost na vseh področjih. Preberi več , je večina naprav Android še vedno teče starejše različice OS Kratek vodnik za različice in posodobitve sistema Android [Android]Če vam nekdo reče, da uporabljate Android, ne pove toliko, kot bi si mislili. Za razliko od večjih računalniških operacijskih sistemov je Android širok OS, ki zajema številne različice in platforme. Če želite ... Preberi več in so ranljivi za nekaj, kar imenujemo "napad eskalacije privilegijev". Običajno so aplikacije za Android "peskano Kaj je peskovnik in zakaj bi se igrali v enem?Visoko-povezovalni programi lahko naredijo veliko, vendar so tudi odprti vabilo, da slabi hekerji napadejo. Da prepreči, da bi stavke postale uspešne, bi razvijalci morali opaziti in zapreti vsako luknjo v ... Preberi več ", Kar jim omogoča dostop samo do tistih vidikov operacijskega sistema, ki jim je bilo dovoljeno izrecno dovoljenje za uporabo. Napadi stopnjevanja privilegijev omogočajo, da zlonamerna koda "prevari" operacijski sistem Android in mu omogoči vedno večji dostop do naprave.

Ko zlonamerni MMS prevzame nadzor nad programom StageFright, lahko s temi napadi prevzame popoln nadzor nad starejšimi, negotovimi napravami Android. To je scenarij nočne more za varnost naprav. Edine naprave, ki so do te težave popolnoma imune, so tisti z operacijskimi sistemi, starejšimi od Androida 2.2 (Froyo), kar je različica, ki je StageFright uvedla na prvo mesto.

Počasen odziv

Aprila je prvotno odkrila ranljivost StageFright Zimperium zLabs, skupina raziskovalcev na področju varnosti. Raziskovalci so o težavi poročali Googlu. Google je proizvajalcem hitro izdal obliž - vendar je zelo malo proizvajalcev naprav obliž dejansko potisnilo na svoje naprave. Raziskovalec, ki je odkril hrošča, Joshua Drake, meni, da približno 950 milijonov od ocenjene milijarde androidnih naprav v obtoku je dovzetnih za nekatere oblike napada.

Juhu! @BlackHatEvents mi je prijazno sprejel moj prispevek in spregovoril o moji raziskavi @Androidje StageFright! https://t.co/9BW4z6Afmg

- Joshua J. Drake (@jduck) 20. maj 2015

Googlove lastne naprave, kot je Nexus 6, so bile delno zakrpane v skladu z Drakeom, čeprav še vedno obstajajo nekatere ranljivosti. Google je v e-poštnem sporočilu FORBES na to temo prepričal uporabnike,

"Večina naprav Android, vključno z vsemi novejšimi napravami, ima več tehnologij, ki so zasnovane tako, da otežujejo izkoriščanje. Naprave Android vključujejo tudi program s peskovnikom, ki je zasnovan za zaščito uporabniških podatkov in drugih aplikacij v napravi. "

Vendar to ni veliko udobja. Vse dokler Android Jellybean Najboljših 12 nasvetov za želejev fižol za novo izkušnjo s tablicami GoogleAndroid Jelly Bean 4.2, ki je bil prvotno dobavljen na Nexusu 7, ponuja odlično novo izkušnjo tabličnih računalnikov, ki zasenči prejšnje različice Androida. Navdušil je celo našega rezidenčnega ljubitelja Apple. Če imate Nexus 7, ... Preberi več , peskovnik v Androidu je bil razmeroma šibek, in obstaja več znanih podvigov, ki jih je mogoče uporabiti, da ga obidejo. Za to vprašanje je zelo pomembno, da proizvajalci pripravijo ustrezen popravek.

Kaj lahko narediš?

Na žalost so proizvajalci strojne opreme lahko izredno počasni, da bi uvedli tovrstne kritične varnostne popravke. Vsekakor se splača obrniti na oddelek za podporo strankam proizvajalca naprav in prositi za oceno, kdaj bodo obliži na voljo. Javni pritisk bo verjetno pripomogel k pospešitvi stvari.

Kar zadeva Drakea, namerava razkriti celoten obseg svojih ugotovitev na mednarodni konferenci o varnosti v DEFCON-u, ki bo potekala v začetku avgusta. Upajmo, da bo dodana javnost spodbudila proizvajalce naprav, da hitro objavijo posodobitve, saj je napad splošno znano.

Na splošno je to dober primer, zakaj je razdrobljenost Androida tako varnostna nočna mora.

Spet je katastrofa to #Android posodobitve so v rokah proizvajalcev strojne opreme. Naj resno škodi Androidu. #Trema

- Mike? (@mipesom) 27. julij 2015

V zaklenjenem ekosistemu, kot je iOS, bi lahko obliž za to odpravili v nekaj urah. V Androidu lahko traja nekaj mesecev ali let, da se vsaka naprava pospeši zaradi ogromne stopnje razdrobljenosti. Zanima me, kakšne rešitve bo Google prišel v naslednjih letih, da začne te varnostne posodobitve izvesti iz rok proizvajalcev naprav.

Ali ste uporabnik sistema Android, ki ga zadeva ta težava? Zaskrbljeni zaradi vaše zasebnosti? Sporočite nam vaše misli v komentarjih!

Kreditna slika: Tipkovnica z osvetlitvijo avtor Wikimedije

Andre je pisatelj in novinar s jugozahoda zajamčeno, da bo ostal funkcionalen do 50 stopinj Celzija in je vodoodporen do globine dvanajst metrov.