Stagefright upublicznione-katastrofa w świecie Androida

A

Anonymous

Koniec lipca oznaczał nie tylko premierę Windows 10, ale także informacje o jak dotąd największej i najpoważniejszej luce w systemie Android, Stagefright. Okazało się, że w przypadku 950 milionów telefonów wystarczy jeden spreparowany MMS, aby ktoś przejął nad nimi kontrolę. Teraz informacje o zagrożeniu zostały upublicznione, co może być początkiem ciężkich czasów użytkowników tego systemu.

Lukę odkryła firma Zimperium, która zajmuje się bezpieczeństwem sektora mobilnego. Jak się okazało, wystarczy, że napastnik stworzy odpowiednio spreparowany MMS i wyśle go do ofiary. Ta niczego nieświadoma nie musi go nawet otwierać, aby dać przestępcy dostęp do swojego urządzenia, pozwalając na szpiegowanie, wykradanie danych, a nawet ich niszczenie. Luka okazała się prawdziwą katastrofą, bo zagraża łącznie 950 milionom urządzeń. Jej ujawnienie doprowadziło do zmiany polityki aktualizacyjnej niektórych firm, ale problemu to nie rozwiązuje. Ten natomiast narasta.

Odkrywcy jeszcze w kwietniu i maju przekazali informacje o zagrożeniu firmie Google, a także Mozilli. Szczegóły były utajnione, aby przygotować poprawkę i nie narażać użytkowników na niebezpieczeństwo. Twórcy Androida pracowali nad rozwiązaniem przez kilka miesięcy, dostarczyli aktualizacje do linii Nexus i zainteresowanych producentów, ale to wciąż za mało: teraz Zimperium pokazało szczegóły, a także działającego exploita wykorzystującego lukę Stagefright. Co więcej, okazało się, że dotychczasowe działania Google były nieskuteczne i lukę wciąż da się wykorzystać przy pomocy spreparowanego pliku MP4 np. na Nexusie 5 z zainstalowanymi wszystkimi dostępnymi aktualizacjami. Zaznaczmy natomiast, że pierwotnie planowano pokazać to wszystko na konferencji BlackHat 2015, niemniej odkrywcy wstrzymali się z publikacją właśnie ze względu na przygotowywane poprawki
Co prawda Google wydało zaktualizowaną wersję Hangouts i aplikacji Messenger, które już automatycznie nie przetwarzają MMS-ów, ale pracownicy Zimperium skomentowali to krytycznie: to tylko jeden z wielu sposobów na wykorzystanie tej luki, nie ma więc mowy o bezpieczeństwie. Dodajmy do tego fakt, iż przecież nie każdy wykorzystuje wspomniane aplikacje do obsługi wiadomości. Oczywiście odnalezienie luki spowodowało ruszenie wielkiej machiny: Google zapowiedziało cykliczne, comiesięczne aktualizacje dla Nexusów. Podobną drogę obrał także Samsung. Niedługo potem chęć łatania swoich urządzeń zaznaczyło również LG i Motorola, wszystko oczywiście po to, aby użytkownicy mogli czuć się bezpieczni.

Czy jest tak w istocie? Przytakiwanie byłoby okłamywaniem samego siebie: większość smartfonów z Androidem żadnych aktualizacji nie otrzyma, podobnie zresztą jak w przypadku dziurawego komponentu WebView. Wszystkiemu winny jest sposób aktualizacji i dystrybucji tego systemu, który daje za dużą kontrolę producentom i operatorom komórkowym. Teraz informacje o luce są publicznie dostępne, wykorzystać może je każdy, a więc powinniśmy szykować się na zmasowane ataki wymierzone w miliony użytkowników i przeprowadzane na najróżniejsze sposoby. Google może przygotować odpowiednie poprawki, ale te dostaną tylko urządzenia z serii Nexus i niektóre flagowe modele. Reszta o wsparciu może zapomnieć, te skończyło się w momencie, gdy sprzęt trafił na półkę sklepową.

Jest jeszcze za wcześnie, aby mówić o długofalowych skutkach znalezienia luki Stagefright. Przyszłość nie zapowiada się jednak różowo. Sposób aktualizacji Androida kiedyś musiał doprowadzić do katastrofy i możliwe, że właśnie znajdujemy się na jej progu. To nie Windows Phone, gdzie Microsoft realnie decyduje o dostarczaniu poprawek bezpieczeństwa. Miejmy jednak nadzieję, że sytuacja ta się zmieni i Google wypracuje taki model aktualizacji, który nie będzie stanowił zagrożenia dla użytkowników Androida.
źr- dobreprogramy.pl
 

guardian

Bardzo aktywny
Administrator
Dołączył
7 Luty 2015
Posty
262
Reakcje/Polubienia
12
Miasto
Cyber Space
as jorn :piwko posted above 'BE CAREFUL !! !! '

Think hard about an attack code that allows hackers to take control of vulnerable Android phones …scary shit?? OHHHH Yeah!!!!

950 MILLION ANDROID PHONES COULD BE HIJACKED BY MALICIOUS TEXT MESSAGES

Many viruses take the form of booby traps in that they are triggered when an unsuspecting user performs an apparently ordinary action such as opening MMS messages and websites that exploit a flaw in heart of Android.

These critical flaws, which reside in an Android media library known as libstagefright, give attackers a variety of ways to clandestinely execute malicious code on unsuspecting owners' devices. The vulnerabilities were privately reported in April and May and were publicly disclosed only in late July. Google has spent the past five months preparing fixes and distributing them to partners, but those efforts have faced a series of setbacks and limitations.

Now Google Security team has a given a CVE tracking number for the first issue in libstagefright but not for libutils.

stagefright exploit can occur when any SMS / MMS app creates the MMS video thumbnail that it shows in the conversation bubble or notification or if a user presses the play button on the video or saves to Gallery

SOOOOO one quick fix as I have done quite some time ago .. I moved to Textra for my go to SMS/MMS default Android messaging APP ... WHY?? because it ALREADY has 'StageFright' protection built in from versions 3.1 on up to current release..
 

artoor

Bardzo aktywny
Zasłużony
Dołączył
6 Lipiec 2012
Posty
1157
Reakcje/Polubienia
0
Miasto
Częstochowa
Yeah - you got it guardian - Textra is one of the very first app that is installed just after factory reset. Apart from security it provides us with lots of useful function including delayed sending of SMS/MMS :) Worth to try.
 

guardian

Bardzo aktywny
Administrator
Dołączył
7 Luty 2015
Posty
262
Reakcje/Polubienia
12
Miasto
Cyber Space
According to a Zimperium ..

Android's Stagefright engine contains multiple vulnerabilities, including several integer overflows and these vulnerabilities include

Zaloguj lub Zarejestruj się aby zobaczyć!
 
Do góry