Как 95% от Android телефоните могат да бъдат хакнати с един текст

реклама

Нова уязвимост на Android притеснява света на сигурността - и оставя вашия Android телефон изключително уязвим. Изданието идва под формата на шест бъгове в безвреден Android модул, наречен Сценична треска, който се използва за възпроизвеждане на медии.

Грешките в StageFright позволяват на злонамерен MMS, изпратен от хакер, да изпълнява злонамерен код в модула StageFright. Оттам кодът има редица опции за придобиване на контрол върху устройството. Към момента нещо като 950 милиона устройства са уязвими от този експлоатация.

Просто казано, това е най-лошата уязвимост на Android в историята.

Безшумно поемане

Потребителите на Android вече са разстроени от нарушението и то с уважителна причина. Бързо сканиране на Twitter показва, че много потребители се разяждат, докато новините проникват в мрежата.

От това, което чувам, дори и Nexus устройства не са получили пластир #Сценична треска. Има ли телефон? http://t.co/bnNRW75TrD

- Томас Брустър (@iblametom) 27 юли 2015 г.

Част от това, което прави тази атака толкова страшна е, че има малко потребители, които могат да направят, за да се защитят от нея. Вероятно те дори не биха знаели, че нападението е станало.

Обикновено, за да атакувате устройство с Android, трябва да накарате потребителя да инсталира злонамерено приложение. Тази атака е различна: нападателят просто ще трябва да знае вашия телефонен номер и да изпрати злонамерено мултимедийно съобщение.

В зависимост от това кое приложение за съобщения използвате, може дори да не знаете, че съобщението е пристигнало. Например: ако вашите MMS съобщения преминат Google Hangouts на Andoid Как да използвате Google Hangouts на вашия AndroidGoogle+ Hangouts е отговорът на Google за чат стаи. Можете да разговаряте с до 12 души, използвайки видео, аудио и текстов чат, както и няколко незадължителни приложения. Hangout е наличен на вашия Android ... Прочетете още , злонамереното съобщение ще може да поеме контрола и да се скрие, преди системата дори да предупреди потребителя, че е пристигнала. В други случаи експлоатацията може да не стартира, докато съобщението действително не се гледа, но повечето потребители просто ще го отпишат като безобидно спам текст Идентифицирайте неизвестни числа и блокирайте спам текстови съобщения с Truemessenger за AndroidTruemessenger е фантастично ново приложение за изпращане и получаване на текстови съобщения и може да ви каже кой е неизвестен номер и да блокира спама. Прочетете още или грешен номер.

След като влезе в системата, кодът, стартиран в StageFright, автоматично има достъп до камерата и микрофона, както и Bluetooth периферните устройства и всички данни, съхранявани на SD картата. Това е достатъчно лошо, но (за съжаление) това е само началото.

Докато Android Lollipop внедрява редица подобрения в сигурността 8 начина да надстроите до Android Lollipop прави телефона ви по-сигуренНашите смартфони са пълни с чувствителна информация, така че как да запазим себе си? С Android Lollipop, който има голям удар в защитната арена, внасяйки функции, които подобряват сигурността навсякъде. Прочетете още , повечето устройства с Android са все още работят по-стари версии на ОС Бързо ръководство за версиите и актуализациите на Android [Android]Ако някой ви каже, че работи с Android, той не казва толкова, колкото бихте си помислили. За разлика от основните компютърни операционни системи, Android е широка ОС, която обхваща множество версии и платформи. Ако искате ... Прочетете още и са уязвими към нещо, наречено „атака на ескалация на привилегии“. Обикновено приложенията за Android са „тестова среда Какво е Пясъчник и защо трябва да играете в едноСилно свързаните програми могат да направят много, но те също са отворена покана за лоши хакери да нанесат удар. За да се предотврати успеха на стачките, разработчикът трябва да забележи и затвори всяка дупка в ... Прочетете още „, Което им позволява да имат достъп само до тези аспекти на ОС, на които им е предоставено изрично разрешение за използване. Привилегии за ескалация на привилегии позволяват злонамерен код да „измами“ операционната система Android, като му предоставя все повече и повече достъп до устройството.

След като злонамереният MMS пое контрола над StageFright, той може да използва тези атаки, за да поеме пълен контрол над по-стари, несигурни устройства с Android. Това е кошмарен сценарий за сигурност на устройството. Единствените устройства, напълно имунизирани срещу този проблем, са тези, работещи с операционни системи, по-стари от Android 2.2 (Froyo), което е версията, която въвежда StageFright на първо място.

Бавен отговор

Уязвимостта на StageFright първоначално беше разкрита през април от Zimperium zLabs, група изследователи по сигурността. Изследователите докладват за проблема на Google. Google бързо пусна патч на производителите - обаче много малко производители на устройства всъщност са натиснали пластира към своите устройства. Изследователят, открил бъга, Джошуа Дрейк, смята, че около 950 милиона от прогнозния милиард андроид устройства в обращение са уязвими към някаква форма на атаката.

Супер! @BlackHatEvents любезно прие моето мнение, за да говоря за моите изследвания върху @Androidе StageFright! https://t.co/9BW4z6Afmg

- Джошуа Дж. Дрейк (@jduck) 20 май 2015 г.

Собствените устройства на Google като Nexus 6 са частично закрепени според Drake, въпреки че някои уязвимости остават. В имейл до FORBES по темата Google убеди потребителите, че

„Повечето устройства с Android, включително всички по-нови устройства, имат множество технологии, които са предназначени да затруднят експлоатацията. Устройствата с Android включват също и пясъчник за приложения, предназначен да защитава потребителските данни и други приложения на устройството.

Това обаче не е много удобно. До Android Jellybean Топ 12 съвети за желиран боб за ново преживяване с таблет GoogleAndroid Jelly Bean 4.2, първоначално доставен на Nexus 7, осигурява страхотно ново изживяване на таблета, което превъзхожда предишните версии на Android. Това дори впечатли резидентния ни фен на Apple. Ако имате Nexus 7, ... Прочетете още , пясъчната кутия в Android е сравнително слаба и има няколко известни подвига, които могат да се използват за заобикаляне. Наистина е изключително важно производителите да намерят подходяща лепенка за този проблем.

Какво можеш да направиш?

За съжаление, производителите на хардуер могат да бъдат изключително бавни да разгърнат тези видове критични кръпки за сигурност. Със сигурност си струва да се свържете с отдела за поддръжка на клиенти на производителя на вашето устройство и да поискате оценка кога ще бъдат налични пластири. Общественият натиск вероятно ще помогне за ускоряване на нещата.

От друга страна, той планира да разкрие пълния обхват на своите констатации на DEFCON, международна конференция за сигурност, която се провежда в началото на август. Надяваме се, че добавената публичност ще стимулира производителите на устройства да пускат актуализации бързо, сега, когато атаката е общоизвестна.

Като по-широка бележка, това е добър пример за това, защо фрагментацията на Android е такъв кошмар за сигурност.

Отново е катастрофа това #android актуализациите са в ръцете на производителите на хардуер. Трябва сериозно да навреди на Android #Сценична треска

- Майк? (@Mipesom) 27 юли 2015 г.

В заключена екосистема като iOS, пластир за това може да бъде избутан за часове. В Android може да отнеме месеци или години, за да може всяко устройство да достигне скорост поради огромното ниво на фрагментация. Интересно ми е да видя какви решения се появява Google през следващите години, за да започне да извежда тези актуални за сигурността актуализации от ръцете на производителите на устройства.

Вие сте потребител на Android, засегнат от този проблем? Загрижени ли сте за поверителността си? Кажете ни вашите мисли в коментарите!

Кредит за изображение: Клавиатура с подсветка от Wikimedia