תקן עבור אנדרואיד Stagefright באג גורם טלפונים לקרוס

תוכן עניינים:

Anonim

אם יש לך מכשיר אנדרואיד, אתה כנראה מודע היטב של באג Stagefright.

גוגל, סמסונג, HTC, LG, Sony ו Blackphone handsets כמו גם את ספקים שונים שפורסמו תיקון עבור Stagefright, אבל כנראה זה לא יכול להיות מספיק.

חברת האבטחה Exodus Intelligence חשפה טעות בצופן קוד מקור מסוים, שהיה אחראי על קריסת התקן בעת ​​פתיחת נתונים בהודעת מולטימדיה. ועל פי החברה, זה יכול להיות מנוצל.

$config[code] not found

מצידה אמר אקסודוס:

"יש כמות מופרזת של תשומת לב נמשכת הבאג - אנחנו מאמינים שאנחנו כנראה לא היחידים שהבחנתי זה פגום. לאחרים יש כוונות זדון "

קובץ וידאו MP4 פגום מתרסק גם בספריות סטאמפרייט של אנדרואיד שתוקנו, ומשאיר התקנים שבהם הם רצים להתקפה.

זו בעיה מסוימת התגלה סביב 31 יולי, כאשר חוקר אבטחה Exodus חוקר ירדן Gruskovnjak הבחין בבעיה חמורה עם תיקון המוצע. הוא עיצב MP4 כדי לעקוף את התיקון והוא בירך עם התרסקות כאשר הוא נבדק.

חשוב לציין שכל נקודות התורפה המשותפות וחשיפות (CVE) תוקנו, ו- Google הקצה את גילוי אקסודוס עם CVE-2015-3864, כך שהוא מודע היטב לבעיה.

אז מה זה Stagefright ומדוע זה כל כך מסוכן?

לדברי צימפריום:

"פגיעויות אלה הן מסוכנות ביותר, משום שהן אינן מחייבות את הקורבן לנקוט פעולה כלשהי כדי לנצל. שלא כמו דיוג-דיוג, שבו הקורבן צריך לפתוח קובץ PDF או קישור שנשלח על-ידי התוקף, ניתן להפעיל את הפגיעות בזמן השינה. "החברה המשיכה ואמרה:" לפני שתתעורר, התוקף יסיר כל סימנים של המכשיר להיות בסכנה ואתה תמשיך את היום כרגיל - עם הטלפון טרויאני. "

אנדרואיד Stagefright לנצל הוא מסוגל להשתמש פגמים במערכת ההפעלה אנדרואיד שהיא משתמשת כדי לעבד, לנגן ולהקליט קבצי מולטימדיה.

על ידי שליחת הודעת MMS, Stagefright יכול להיכנס למכשיר שלך, ברגע שהוא נגוע, התוקף מקבל גישה מרחוק למיקרופון, למצלמה ולאחסון חיצוני. במקרים מסוימים, גישה שורש להתקן ניתן גם gotten.

את אנדרואיד Stagefright באג התגלה במקור על ידי Zimabium Zimabs סגן נשיא פלטפורמת מחקר וניצול יהושע ג 'דרייק, באפריל. מאוחר יותר הוא אמר שהוא וצוותו מאמינים שזו "הפגיעות הגרועה ביותר של אנדרואיד שהתגלו עד כה", וכי "היא חושפת באופן ביקורתי 95% ממכשירי Android, כ -950 מיליון מכשירים".

Zimperium דיווח על הפגיעות ל- Google יחד עם תיקונים, והיא פעלה במהירות על ידי החלת המדבקות על ענפי קוד פנימי בתוך 48 שעות.

מה ניתן לעשות עד שיש תיקון סופי לבעיה?

קודם כל, רק להגיב על הודעות ממקורות אתה בוטח. בנוסף, השבת את התכונה 'הורדה אוטומטית' עבור MMS ב- SMS, ב- Hangouts ובסרטונים באפליקציות שהתקנת במכשיר שלך.

לכל אפליקציה ומכשיר יש מיקום משלה, אך היא נמצאת בדרך כלל בהגדרות ובמדיה להורדה. אם אינך מוצא אותו עבור היישום הספציפי שלך, צור קשר עם בעל האתר של האפליקציה.

מוקדם יותר החודש הודיעה גוגל כי היא תנפיק תיקוני אבטחה חודשיים למכשירי אנדרואיד בכנס האבטחה Black Hat, עם סמסונג בעקבותיה.

לחברה שגילתה לראשונה את Stagefright יש אפליקציה זמינה ב- Google Play. הוא מאפשר לך לדעת אם המכשיר שלך פגיע, איזה CVE המכשיר שלך פגיע ואם אתה צריך לעדכן את מערכת ההפעלה הניידת שלך. זה גם בדיקות עבור CVE-2015-3864, את הפגיעות אקסודוס המודיעין מזוהה.

אנדרואיד היא פלטפורמת מערכת ההפעלה הניידת הפופולרית ביותר, אבל היא מקוטעת מאוד. פירוש הדבר שלא כולם מפעילים את מערכת ההפעלה העדכנית ביותר או את עדכון האבטחה, דבר המקשה מאוד על ההבטחה שכל מכשיר Android יהיה מוגן.

אם יצרן הטלפון הסלולרי שלך לא תוקן את המכשיר, קח את העניינים לידיים שלך וודא שיש לך את העדכון האחרון עבור המכשיר שלך בכל עת.

תמונה: גלאי StageFright / אבטחה נייד Lookout

עוד ב: Google 3 תגובות ▼