Видео: Stagefright: Scary Code in the Heart of Android (Ноябрь 2024)
Подвиньтесь к Heartbleed, есть новая зловещая цифровая угроза, которая может охватить сотни миллионов людей. Он называется Stagefright, и сообщество по информационной безопасности опасается, что 950 миллионов телефонов Android могут оказаться под угрозой.
В то время как большинство взломов Android по крайней мере требуют, чтобы жертвы совершали какую-то ошибку, например, обманывали себя в загрузке вредоносных программ, уязвимость Stagefright уже может быть на почти миллиарде телефонов Android, независимо от того, что делают пользователи. И каков же реальный виновник такой огромной уязвимости (кроме хакеров, конечно)? Продолжающаяся проблема фрагментации Android.
Сломать ногу
По словам израильской компании по обеспечению безопасности мобильных устройств Zimperium, Stagefright пугающе легко заразить ваш телефон. Ошибка - недавно обнаруженный недостаток кода библиотеки мультимедиа с открытым исходным кодом Google, который позволяет злоумышленникам выполнять код на вашем устройстве, просто отправив вам текстовое сообщение. Уязвимость Stagefright может быть использована для того, чтобы поставить телефон и его данные в зависимость от злоумышленника. Контакты, камера, микрофон и фотографии находятся под контролем хакера. Опять же, все это может произойти полностью под вашим носом. Нет никаких внешних признаков того, что нарушение происходит.
Есть несколько способов защитить себя от Stagefright. В приложении Hangouts перейдите в «Настройки», выберите «SMS», сделайте «Hangouts» своим приложением по умолчанию для SMS и снимите флажок «Автоматически получать MMS». Теперь вы можете просматривать входящие MMS-сообщения и не загружать ничего подозрительного. Но хотя это может навсегда предотвратить секретное заражение, это не полное решение. Вы все еще можете случайно прочитать вредоносный текст в обычном приложении SMS.
Для наглядного объяснения посмотрите эту диаграмму в Checkmarx, компании, которая предоставляет анализ безопасности кода, чтобы убедиться, что мобильные приложения в разработке защищены от таких эксплойтов, как Stagefright.
Раздвоение личности
К сожалению, большинство надежных способов предотвратить использование Stagefright злоумышленниками недоступны для подавляющего большинства владельцев Android. Если у вас есть телефон Google Nexus или любое другое устройство под управлением Android, вы, вероятно, уже получили обновление, которое подавляет эксплойт. Однако, если ваш телефон не имеет доступа к самым последним обновлениям, вы останетесь уязвимыми для тех, кто знает, как долго. Ничего не поделать. Этого достаточно, чтобы вы захотели получить root права на свой телефон и решить проблему самостоятельно. Или купить айфон.
Переполох опасен, но он также разочаровывает, потому что нет никаких причин, по которым он должен был стать таким масштабным риском. Хотя было бы неплохо, если бы уязвимость была обнаружена и устранена на ранних этапах разработки, по крайней мере, Google быстро выпустила патч для этой ошибки. Однако из-за того, что Android настолько фрагментирован, а множество различных устройств работают со своей слегка подправленной версией мобильной операционной системы, бесчисленные пользователи не будут в безопасности, пока исправление не коснется их от вялых производителей оборудования, если они даже получат исправить на всех. Вы можете утверждать, что открытость Android дает ему свободу и преимущества, которых не хватает iOS, но это тот случай, когда лучше всего для всех, чтобы Google имел больший контроль над своей платформой.
Stagefright, безусловно, получит некоторое внимание на Black Hat на следующей неделе. Для получения дополнительной информации о предстоящей конференции по компьютерной безопасности продолжайте читать PCMag.com.