Šķiet, ka Stagefright atkal streiki.
Drošības kļūda, kas tika izmantota Android operētājsistēmu versijām no 2,2 līdz 4, tagad ir audzējusi savu galvu, lai uzbruktu ierīcēm, kurās darbojas Android 5.0 un jaunāka versija.
Joshua J. Drake, Zimperium zLabs pētniecības viceprezidents, ir atradis vēl vienu drošības problēmu Android programmā Stagefright 2.0. Drake apgalvo, ka ir divas ievainojamības, kas var rasties, apstrādājot īpaši izstrādātus MP3 audio un MP4 video failus.
$config[code] not foundAcīmredzot, MP3 un MP4 failos ir funkcija, kas ļauj veikt attālu kodu izpildi (RCE). Tas būtībā nozīmē, ka inficētie MP3 un MP4 faili var dot kādam piekļuvi darbam jūsu Android tālrunī. Pat vienkārši ļaunprātīgas dziesmas vai video priekšskatīšana var apdraudēt tālruni.
Drake saka savā emuāra ziņojumā, ka visneaizsargātākā pieeja Android tālrunim ir caur tīmekļa pārlūkprogrammu, ar trīs dažādiem veidiem hacker var izmantot drošības kļūdu.
Pirmkārt, uzbrucējs var mēģināt iegūt Android lietotāju, lai apmeklētu URL, kas patiešām novedīs pie uzbrucēja kontrolētas vietnes. To var izdarīt, piemēram, reklāmas kampaņas veidā. Kad cietušais iemūžinājās, tas tiktu pakļauts inficētajam MP3 vai MP4 failam.
Līdzīgi, uzbrucējs var izmantot trešo pušu lietotni, piemēram, multivides atskaņotāju. Šādā gadījumā tā ir lietotne, kas satur vienu no šiem ļaunprātīgajiem failiem.
Bet ir trešā iespēja, ja hakeris varētu ieņemt citu maršrutu.
Sakiet, hacker un Android lietotājs izmanto to pašu WiFi. Tad hakerim nebūtu jāvērtē lietotājs, lai apmeklētu URL vai atvērtu trešās puses lietotni. Tā vietā viss, kas viņiem būtu jādara, ir injicēt izmantotāju pārlūkprogrammas izmantotajā nešifrētā tīkla datplūsmā.
Sākotnējā Stagefright buga, ko Drake atklāja arī šogad, atklāja Android tālruņus ievainojamībai, izmantojot īsziņas ar ļaunprātīgu programmatūru.
Ja hakeris zināja jūsu tālruņa numuru, var nosūtīt īsziņu ar ļaunprātīgu multivides failu. Pēc tam teksts varētu ļaut hacker piekļūt lietotāja datiem un fotoattēliem vai pat piekļūt funkcijām, piemēram, tālruņa kamerai vai mikrofonam.
Lietotāji var tikt ietekmēti un pat nezināt.
Sākotnējai Stagefright bugai tika izlaists plāksteris ne pārāk ilgi pēc neaizsargātības atklāšanas.Tomēr ir bijušas dažas problēmas ar plāksteri. Dažos ziņojumos ir norādīts, ka plāksteris var izraisīt telefonu avāriju dažos gadījumos, kad tiek atvērta multiziņa.
Drake saka, ka viņš ir paziņojis Android par draudiem, un paziņoja, ka Android ātri pārvietojās, lai novērstu šo problēmu, lai gan viņiem vēl ir jāsniedz CVE numurs, lai izsekotu šo jaunāko jautājumu. Google ir iekļāvusi labojumu Stagefright Nexus drošības biļetenā, kas iznāk šonedēļ.
Ja neesat pārliecināts, vai jūsu Android ierīce ir neaizsargāta, varat lejupielādēt Zimperium Inc. Stagefright detektora lietotni, lai pārbaudītu ievainojamību.
Android Lollipop Photo caur Shutterstock
Vairāk: Google 2 Komentāri ▼
