זה נראה כמו Stagefright מכה שנית.
באג האבטחה כי preyed טלפונים המפעילים גירסאות של מערכת ההפעלה אנדרואיד בין 2.2 ו 4, יש עכשיו גידל את הראש לתקוף התקנים פועל אנדרואיד 5.0 ומעלה.
יהושע ג 'יי דרייק, Zimabium zimabs סגן נשיא למחקר, מצא עוד בעיה ביטחונית אנדרואיד בשם Stagefright 2.0. דרייק טוען שיש שתי פגיעויות שעלולות לקרות בעת עיבוד מיוחד שמע MP3 ו- MP4 קבצי וידאו.
$config[code] not foundככל הנראה, בתוך קבצי MP3 ו- MP4 היא פונקציה המאפשרת ביצוע קוד מרחוק (RCE). זה בעצם אומר נגוע קבצי MP3 ו- MP4 יכול לתת למישהו גישה להפעיל משימה בטלפון אנדרואיד שלך. אפילו פשוט תצוגה מקדימה של שיר זדוני או וידאו יכול לשים את הטלפון בסיכון.
דרייק אומר בפוסט בבלוג שלו כי הגישה הפגיעה ביותר לטלפון אנדרואיד היא באמצעות דפדפן אינטרנט, עם שלוש דרכים שונות האקר עשוי לנצל את באג האבטחה.
ראשית, תוקף עלול לנסות לגרום למשתמש Android לבקר בכתובת אתר שתוביל באמת לאתר שנשלט על ידי התוקף. זה יכול להיעשות בצורה של מסע פרסום, למשל. לאחר פיתה, הקורבן יהיה חשוף לקובץ MP3 נגוע או MP4.
באותו השורה, תוקף יכול להשתמש באפליקציית צד שלישי, כמו נגן מדיה. במקרה זה, האפליקציה תכלול אחד מקבצים זדוניים אלה.
אבל יש אפשרות שלישית שבה האקר יכול לקחת דרך אחרת.
תגיד, האקר ו- Android משתמש באותו Wi-Fi. לאחר מכן, האקר לא יצטרך להערים על המשתמש בביקור בכתובת אתר או בפתיחת אפליקציה של צד שלישי. במקום זאת, כל מה שהם יצטרכו לעשות הוא להזריק את ניצול לתנועה ברשת לא מוצפנת של המשתמש המשמש את הדפדפן.
החבילה המקורית של Stagefright - שהתגלתה גם על ידי דרייק בתחילת השנה - פתחה את מכשירי אנדרואיד לפגיעות באמצעות הודעות טקסט המכילות תוכנות זדוניות.
אם האקר ידע את מספר הטלפון שלך, ניתן לשלוח הודעת טקסט המכילה קובץ מולטימדיה זדוני. הטקסט עלול לאפשר לפורץ לגשת לנתונים ולתמונות של משתמש, או אפילו לתת גישה לפונקציות כגון המצלמה או המיקרופון של הטלפון.
משתמשים יכולים להיות מושפעים ואפילו לא יודעים את זה.
תיקון שוחרר עבור באג Stagefright המקורי זמן לא רב לאחר שהתגלתה הפגיעות.היו עם זאת כמה בעיות עם התיקון. חלק מהדיווחים הצביעו על כך שהתיקון עלול לגרום לקריסה של טלפונים במקרים מסוימים כאשר נפתחת הודעת מולטימדיה.
דרייק אומר שהודיע ל- Android על האיום ואמר כי אנדרואיד התקדם במהירות, למרות שעדיין לא סיפקו מספר CVE כדי לעקוב אחר הבעיה האחרונה. Google כוללת תיקון עבור Stagefright בעלון האבטחה של Nexus שיצא השבוע.
אם אינך בטוח אם מכשיר ה- Android שלך פגיע, תוכל להוריד את היישום 'גלאי Stagefright' של Zimperium Inc. כדי לבדוק אם יש פגיעות.
אנדרואיד סוכריה על מקל באמצעות
עוד ב: Google 2 תגובות ▼
