Изглежда, че Stagefright отново удари.
Проблемът със сигурността, който се харесваше на телефони с версии на Android OS между 2.2 и 4, сега е вдигнал глава, за да атакува устройства с Android 5.0 и по-нови версии.
Джошуа Дрейк, вицепрезидент на Zimperium zLabs за научни изследвания, намери друг проблем със сигурността в Android, наречен Stagefright 2.0. Дрейк твърди, че има две уязвимости, които могат да се случат при обработката на специално създадени MP3 аудио и MP4 видео файлове.
$config[code] not foundОчевидно, в MP3 и MP4 файловете е функция, която позволява дистанционно изпълнение на код (RCE). Това основно означава, че заразените MP3 и MP4 файлове могат да дадат на някой достъп до дадена задача на вашия Android телефон. Дори просто да визуализирате злонамерена песен или видеоклип може да изложи на риск вашия телефон.
Дрейк казва в блога си, че най-уязвимият подход към Android телефона е чрез уеб браузър, с три различни начина, по които хакерът може да се възползва от грешката в сигурността.
Първо, един нападател може да опита да накара потребител на Android да посети URL адрес, който наистина ще доведе до контролиран от хакер уебсайт. Това може да бъде направено например под формата на рекламна кампания. Веднъж привлечен, жертвата ще бъде изложена на заразения MP3 или MP4 файл.
По същия начин атакуващият може да използва приложение на трета страна, подобно на мултимедиен плейър. В този случай приложението ще съдържа един от тези злонамерени файлове.
Но има и трета възможност, когато хакерът може да поеме по различен начин.
Да кажем, хакерът и потребителят на Android използват същия WiFi. След това хакерът не би трябвало да подвежда потребителя да посещава URL адрес или да отваря приложение на трета страна. Вместо това, всичко, което трябва да направят, е да инжектират експлоатата в незашифрован мрежов трафик на потребителя, използван от браузъра.
Оригиналната Stagefright грешка - която също беше открита от Дрейк по-рано тази година - отвори андроидните телефони на уязвимостта чрез текстови съобщения, съдържащи злонамерен софтуер.
Ако хакер знае вашия телефонен номер, може да се изпрати текстово съобщение, съдържащо злонамерен мултимедиен файл. След това текстът ще позволи на хакерски достъп до данните и снимките на потребителя или дори ще даде достъп до функции като камерата или микрофона на телефона.
Потребителите могат да бъдат засегнати и дори да не го знаят.
Патчът бе освободен за оригиналната грешка на Stagefright не твърде дълго след като беше открита уязвимостта. Има обаче няколко проблема с пластира. Някои доклади показват, че пластирът може да доведе до срив на телефони в някои случаи, когато мултимедийното съобщение е отворено.
Дрейк казва, че е уведомил Android за заплахата и заяви, че Android се премества бързо, но те все още не са предоставили номер на CVE за проследяване на този последен проблем. Google включва корекция за Stagefright в бюлетина за сигурност Nexus, който излиза тази седмица.
Ако не сте сигурни дали устройството ви с Android е уязвимо, можете да изтеглите приложението Zimperium Inc. Stagefright Detector, за да проверите за уязвимости.
Снимка на Android Lollipop чрез Shutterstock
Още в: Google 2 Коментара ▼
