Реклама
Нова Андроид рањивост забрињава свет безбедности - и ваш Андроид телефон чини изузетно рањивим. Издање долази у облику шест бугова у нешкодљивом Андроид модулу који се зове Трема, која се користи за репродукцију медија.
Грешке у програму СтагеФригхт омогућавају злонамерном ММС-у, који је послао хакер, извршавање злонамерног кода унутар СтагеФригхт модула. Одатле, код има неколико опција за стицање контроле над уређајем. Од сада, нешто попут 950 милиона уређаја је рањиво на овај подвиг.
То је, најједноставније речено, најгора Андроид рањивост у историји.
Тихо преузимање
Корисници Андроид-а већ постају узнемирени због повреде, и то с добрим разлогом. Брзо скенирање Твиттера показује како се многи бијесни корисници појављују док вијест прожима интернет.
Колико чујем, чак ни Некус уређаји нису добили закрпу #Трема. Има ли телефон? http://t.co/bnNRW75TrD
- Тхомас Бревстер (@ибламетом) 27. јула 2015
Део онога што овај напад чини толико застрашујућим јесте то што мали корисници могу да ураде да се заштите од њега. Вероватно, не би ни знали да се напад догодио.
За напад с Андроид уређајем, корисник мора навести да инсталира злонамерну апликацију. Овај напад је другачији: нападач би једноставно требао знати ваш телефонски број и послати злонамерну мултимедијалну поруку.
У зависности од тога коју апликацију за размену порука користите, можда нисте ни знали да је порука стигла. На пример: ако прођу ваше ММС поруке Андоид-ови Гоогле Хангоутс Како се користе Гоогле Хангоутс-а на вашем Андроид-уГоогле+ Хангоутс је Гоогле-ов одговор на собе за ћаскање. Можете да се дружите са до 12 особа помоћу видео, аудио и текстуалног ћаскања, као и неколико опционалних апликација. Хангоут је доступан на вашем Андроид ... Опширније , злонамерна порука ће моћи преузети контролу и сакрити се пре него што систем чак упозори корисника да је стигао. У другим случајевима експлоатација можда неће започети све док се порука заиста не погледа, али већина корисника би је једноставно отписала као безопасну нежељени текст Препознајте непознате бројеве и блокирајте нежељене текстуалне поруке помоћу Труемессенгер-а за АндроидТруемессенгер је фантастична нова апликација за слање и примање текстуалних порука, а може вам рећи ко је непознати број и блокирати нежељену пошту. Опширније или погрешан број.
Једном у систему, код који се покреће у оквиру СтагеФригхт-а аутоматски има приступ камери и микрофону, као и Блуетоотх периферним уређајима и свим подацима сачуваним на СД картици. То је довољно лоше, али (нажалост) то је само почетак.
Док се Андроид Лоллипоп имплементира бројна сигурносна побољшања 8 начина надоградње на Андроид Лоллипоп чини ваш телефон сигурнијимНаши паметни телефони су пуни осетљивих информација, па како да се сачувамо? Са Андроид Лоллипоп-ом, који доноси велики ударац у безбедносној арени, уносећи функције које побољшавају сигурност широм света. Опширније , већина Андроид уређаја је и даље раде старије верзије ОС-а Кратки водич за верзије и ажурирања за Андроид [Андроид]Ако вам неко каже да имате Андроид, не изговара се толико колико бисте мислили. За разлику од главних рачунарских оперативних система, Андроид је широк ОС који покрива бројне верзије и платформе. Ако желите ... Опширније и рањиви су на нешто што се назива "нападом ескалације привилегија". Андроид апликације су обично „песковљено Шта је песак песама и зашто би требало да се играте у једном?Високо-конективни програми могу много учинити, али су и отворени позив лошим хакерима да нападну. Да спречи да штрајкови постану успешни, програмер ће морати да уочи и затвори сваку рупу у ... Опширније „, Омогућавајући им приступ само оним аспектима ОС-а за које им је дата експлицитна дозвола за употребу. Напади ескалације привилегије омогућавају злонамерни код да „превари“ Андроид оперативни систем дајући му све више и више приступа уређају.
Једном када злонамерни ММС преузме контролу над СтагеФригхтом, могао би користити те нападе да преузме потпуну контролу над старијим, несигурним Андроид уређајима. Ово је сценариј ноћне море за сигурност уређаја. Једини уређаји који су потпуно имуни на овај проблем су они који раде оперативне системе старије од Андроид 2.2 (Фроио), што је верзија која је СтагеФригхт-у на првом месту представила.
Спор одговор
Ранге СтагеФригхт је првобитно откривен у априлу Зимпериум зЛабс, група истраживача безбедности. Истраживачи су проблем пријавили Гооглеу. Гоогле је брзо издао закрпу произвођачима - међутим, врло мали број произвођача је стварно гурнуо закрпу на своје уређаје. Истраживач који је открио бугу, Јосхуа Драке, верује да око 950 милиона од процењених милијарду андроид уређаја у оптицају су рањиви на неки облик напада.
То, бре! @БлацкХатЕвентс љубазно је прихватио моје предавање да бих говорио о свом истраживању о @Андроид'с СтагеФригхт! https://t.co/9BW4z6Afmg
- Јосхуа Ј. Драке (@јдуцк) 20. маја 2015
Гоогле-ови властити уређаји попут Некуса 6 делимично су закрпљени према Драке-у, иако постоје неке рањивости. Гоогле је у е-поруци ФОРБЕС-у на ту тему уверио кориснике да,
„Већина Андроид уређаја, укључујући све новије уређаје, има више технологија које су дизајниране да отежају експлоатацију. Андроид уређаји укључују и програм за песак апликација дизајниран да заштити корисничке податке и друге апликације на уређају. “
Међутим, ово није баш велика удобност. Све док Андроид Јеллибеан Топ 12 савета за јело за нови производ за Гоогле таблетАндроид Јелли Беан 4.2, првобитно испоручен на Некус 7, пружа одличан нови доживљај таблета који надилази претходне верзије Андроида. То је чак импресионирало нашег резидент Аппле-овог обожаватеља. Ако имате Некус 7, ... Опширније , Пјешчана кутија у Андроиду била је релативно слаба, а постоји неколико познатих подвига који се могу искористити да се то заобиђе. Заиста је пресудно да произвођачи изграде одговарајућу закрпу за ово питање.
Шта можете да урадите?
Нажалост, произвођачи хардвера могу бити изузетно спори да изведу ове врсте критичних безбедносних закрпа. Свакако вреди контактирати одељење за подршку произвођача вашег уређаја и затражити процену времена када ће закрпе бити доступне. Јавни притисак ће вероватно помоћи да се убрзају ствари.
Са стране Дракеа, он планира да открије пуни опсег својих открића на ДЕФЦОН-у, међународној безбедносној конференцији која се одржава почетком августа. Надамо се да ће додатна јавност потакнути произвођаче уређаја да брзо објављују ажурирања, сада када је напад опћепозната.
У ширем смислу, ово је добар пример зашто је Андроид фрагментација таква ноћна мора сигурности.
Поново је то катастрофа #Андроид исправке су у рукама произвођача хардвера. Треба озбиљно наштетити Андроиду #Трема
- Мајк? (@мипесом) 27. јула 2015
На закључаном екосистему попут иОС-а, закрпа за то могла би бити изгубљена за неколико сати. На Андроид-у може бити потребно неколико месеци или година да се сви уређаји убрзају због огромног нивоа фрагментације. Интересује ме да видим која ће решења Гоогле да се појаве у наредним годинама како би почела да доноси ове витално важне безбедносне исправке из руку произвођача уређаја.
Да ли сте Андроид корисник погођен овим проблемом? Забринути због своје приватности? Јавите нам своје мисли у коментарима!
Кредитна слика: Тастатура са позадинским осветљењем аутор: Викимедиа
Писац и новинар са југозапада, Андре је загарантовано да ће остати функционалан до 50 степени Целзијуса, а водоотпоран је до дубине од дванаест стопа.