1Sep
Androidil on tohutu julgeolekuprobleem komponendis, mis on tuntud kui "Stagefright". Piraatvaheliste sõnumite vastuvõtmine võib põhjustada teie telefoni ohtu. On üllatav, et me pole näinud, et Windows XP alguses levib ussid telefonist telefoni nagu ussid - kõik koostisained on siin.
See on tegelikult natuke hullem kui kõlab. Meedium on suures osas keskendunud MMS-rünnakumeetodile, kuid veebisaidil või rakenduses sisalduvad isegi MP4-videod võivad teie telefoni või tahvelarvu kahjustada.
Miks Stagefright defekt on ohtlik - see ei ole mitte ainult MMS
Mõned kommentaatorid on seda rünnakut nimetanud "Stagefright", kuid see on tegelikult rünnak Android-i osa nimele Stagefright. See on Androidi multimeediamängija komponent. Sellel on haavatavus, mida saab ära kasutada - kõige ohtlikumalt MMS-i kaudu, mis on sisseehitatud multimeediumkomponentide tekstisõnum.
Paljud Android-telefonitootjad on loovalt otsustanud anda Stagefright-süsteemi õigusi, mis on ühe sammu võrra administraatori juurdepääsuks. Stagefrighti kasutamine võimaldab ründajal käivitada arbikiroodi kas "meediumis" või "süsteemi" õigustega, olenevalt seadme konfigureerimisest. Süsteemi õigused annaksid ründajale oma seadmele põhimõtteliselt täieliku vastuse. Zimperium, organisatsioon, kes avastas ja teatas probleemi, pakub rohkem üksikasju.
Tüüpilised Android tekstisõnumite rakendused laadivad automaatselt sissetulevad MMS-sõnumeid. See tähendab, et teid võib kahjustada ainult see, kui keegi saadab teile sõnumi telefonivõrgu kaudu. Kui teie telefon rikub, võib seda haavatavust kasutav usm lugeda oma kontakte ja saata pahatahtlikke MMS-sõnumeid oma kontaktidele, levitades seda nagu metsikut laadi, nagu näiteks Melissa viirus 1999. aastal tagasi, kasutades Outlooki ja e-posti kontakte.
Esialgsed aruanded keskendusid MMS-ile, kuna see oli kõige potentsiaalselt ohtlikum vend Stagefright võiks ära kasutada. Kuid see pole ainult MMS.Nagu Trend Micro märkis, on see haavatavus "media serveri" komponendis ja veebisaidil asuv pahatahtlik MP4-fail võib seda kasutada - jah, liikudes veebibrauseri veebi lehele. Rakendus, mis soovib oma seadet kasutada, saab teha samamoodi MP4-faili. Kas teie nutitelefon või tahvelarvuti haavatav on
?
Teie Android-seade on ilmselt haavatav. Kakskümmend viis protsenti Android-seadmest looduses on Stagefrightile haavatavad.
Kontrollige kindlasti Google Playst Stagefright Detector'i rakendust. Seda rakendust tegi Zimperium, kes avastas ja teatas Stagefrighti haavatavusest. See kontrollib teie seadet ja annab teile teada, kas Stagefright on teie Android-telefoniga pargitud või mitte.
Kuidas ära hoida varjuküljed, kui olete haavatav
Meie Android viirusetõrjeprogrammid ei salvesta teid Stagefright rünnakutest. Neil pole ilmtingimata piisavalt MMS-sõnumite vastuvõtmiseks ja süsteemi komponentide häireid. Samuti ei saa Google värskendada Google Play teenuste komponenti Androidis selle vea parandamiseks, segamini lahendus, mida Google sageli töötab turvaaukude ilmumisel.
Et tõesti takistada ennast ohtu seada, peate oma MMS-sõnumite allalaadimise ja käivitamise vältimiseks oma sõnumivahetuse rakenduse ära hoidma.Üldiselt tähendab see säte "MMS-i automaatne allalaadimine" seadete blokeerimist. MMS-sõnumi saamisel ei laadita see automaatselt alla - peate selle allalaadimiseks koputama kohakuti või midagi sarnast. Teil ei ole ohtu, kui te ei otsusta MMS-i allalaadimist.
Sa ei peaks seda tegema. Kui MMS on kelleltki, keda te ei tea, kindlasti ignoreerige seda. Kui MMS on sõpradelt pärit, on võimalik, et nende telefon on ohustatud, kui uss hakkab startima. MMS-sõnumite allalaadimine on kõige turvalisem, kui teie telefon on haavatav.
MMS-sõnumi automaatotsingu keelamiseks järgige oma suhtlusrakenduse asjakohaseid samme.
- Messaging ( sisseehitatud Android-seadmesse): avage Messaging, puudutage menüünuppu ja puudutage Settings. Kerige alla jaotisse "Multimeediumid( MMS)" ja tühjendage märkeruut "Automaatne allalaadimine".
- Messenger ( Google): Avage Messenger, puudutage menüüd, koputage Settings, puudutage Advanced ja keelake automaatne allalaadimine.
- Hangouts( Google): avage Hangouts, puudutage menüüd ja navigeerige seadete juurde & gt;SMSPuuduta valikut "Automaatne SMS allalaadimine" jaotises Täpsemalt.(Kui te ei näe SMS-valikuid siin, ei kasuta telefon telefoni jaoks SMS-i jaoks Hangoutsi. Keela seade SMS-rakenduses, mida te selle asemel kasutate.)
- sõnumid ( Samsung): Avage Sõnumid ja navigeerige lehele Veel & gt;Seaded & gt;Veel seadeid. Puuduta valikut Multimeediumsõnumid ja keelake valik "Automaatne allalaadimine".See seade võib olla erinevates kohtades erinevates Samsungi seadmetes, kus kasutatakse rakendusi Sõnumid erinevad versioonid.
Siin pole võimatu koostada täielikku nimekirja. Avage lihtsalt rakendus, mida kasutate SMS-sõnumite( tekstisõnumite) saatmiseks, ja otsige valikut, mis keelab MMS-sõnumite automaatse allalaadimise või automaatse allalaadimise.
Hoiatus : kui otsustate MMS-sõnumi alla laadida, olete endiselt haavatav. Kuna Stagefrighti haavatavus pole mitte ainult MMS-sõnumi probleem, ei kaitse see end täielikult igasuguse rünnaku eest.
Kas teie telefoni pikset saada?
Selle asemel, et proovida probleemi ümber töötada, oleks parem, kui telefon saaks just selle värskenduse värskenduse. Kahjuks on Androidi värskendamise olukord praegu õudusunenägu. Kui teil on uusim lipulaevtelefon, võite tõenäoliselt mõnda aega uuendada - loodetavasti. Kui teil on vanem telefon, eriti madalama taseme telefon, on hea võimalus, et te lihtsalt ei saa värskendust.
- Nexuse seadmed : Google on nüüd välja andnud Nexus 4, Nexus 5, Nexus 6, Nexus 7( 2013), Nexus 9 ja Nexus 10 värskendused. Originaalversioon Nexus 7( 2012) ei ilmselt enam toetatud ja eiPaigutage
- Samsung : Sprint on hakanud tungivalt uuendama Galaxy S5, S6, S6 Edge ja Note Edge. On ebaselge, kui teised lennuettevõtjad neid värskendusi välja viivad.
ütles Google ka Ars Technickile, et "populaarsemad Android-seadmed" saavad augustis värskenduse, sealhulgas:
- Samsung : Galaxy S3, S4 ja märkus 4 lisaks eespool nimetatud telefonidele.
- HTC : üks M7, üks M8 ja üks M9.
- LG : G2, G3 ja G4.
- Sony : Xperia Z2, Z3, Z4 ja Z3 Compact.
- Android One seadmed, mida toetab Google
Motorola on teatanud, et ta hakkab oma telefoni värskendama alates augustist alates, sealhulgas Moto X( 1. ja 2. põlvkond), Moto X Pro, Moto Maxx / Turbo, Moto G( 1.,2. ja 3. põlvkond), Moto G 4G LTE( 1. ja 2. põlvkond), Moto E( 1. ja 2. põlvkond), Moto E 4G LTE( 2. põlvkond), DROID Turbo ja DROID Ultra /Mini/ Maxx.
Google Nexus, Samsung ja LG on kõik pühendunud oma telefonide värskendamisele turvavärskenduste abil kord kuus. Kuid see lubadus kehtib ainult tõestimulaatoritele ja nõuab, et lennuettevõtjad teeksid koostööd. Ei ole selge, kui hästi see toimiks. Vedajad võivad potentsiaalselt seista nende värskenduste poole, ja see jätab kasutusel olevatele telefonidele ilma värskendamiseta endiselt suure hulga - tuhandeid erinevaid mudeleid.
Või lihtsalt installige CyanogenMod
CyanogenMod on kolmanda osapoole kohandatud ROMi Android, mida tihti kasutavad harrastajad. See toob Android-i praeguse versiooni sellesse seadmesse, mille tootjad on toetuse peatanud. See ei ole tõesti ideaalne lahendus keskmisele inimesele, kuna see nõuab telefoni alglaadurit. Kuid kui teie telefoni on toetatud, võite seda triki kasutada, et praeguse turvavärskenduse Android-i praeguse versiooni saamiseks kasutada. CyanogenMod ei ole halb mõte, kui teie telefoni enam ei toeta selle tootja.
CyanogenMod on fikseeritud Stagefright haavatavuse öösel versioonidel ja parandamine peaks muutma stabiilse versiooni varsti OTA värskenduse kaudu.
Androidil on probleem: enamik seadmeid ei saa turvavärskendusi
See on vaid üks paljudest turbavajutustest, kus vana Android-seadmeid ehitatakse kahjuks. See on lihtsalt eriti halb, mis pöörab rohkem tähelepanu. Enamik Android-seadmeid - kõik seadmed, millel on operatsioonisüsteem Android 4.3 ja vanemad - sisaldavad näiteks haavatavat veebibrauseri komponenti. Seda ei korrigeerita kunagi, kui seadmed ei uuenda Androidi uuemat versiooni. Saate kaitsta end selle eest, kui käitate Chrome'i või Firefoxi, kuid see haavatav brauser jääb nende seadmete jaoks igaveseks nende asendamiseni. Tootjad ei ole huvitatud nende ajakohastamisest ja säilitamisest, mistõttu paljud inimesed on pöördunud CyanogenMod poole.
Google, Android-seadmete tootjad ja mobiilsidekanalid peavad oma toiminguid saama, kuna praegune värskendamismeetod - õigemini mitte uuendus - Android-seadmed toovad Android-ökosüsteemi kaasa, kui seadmed avad aukude loomiseks. Seepärast on iPhone'id turvalisemad kui Android-telefonid - iPhonid saavad turvavärskendusi. Apple on pühendunud iPhonide ajakohastamisele kauem kui Google( ainult Nexus telefonid), Samsung ja LG sobivad ka oma telefonide täiustamiseks.
Olete ilmselt kuulnud, et Windows XP kasutamine on ohtlik, kuna seda enam ei värskendata. XP jätkab aja jooksul turvalisuse aukude loomist ja muutub üha haavatavamaks. Noh, enamiku Android-telefonide kasutamine on sama - nad ei saa ka turvavärskendusi.
Mõned kasulikud leevendused võivad aidata takistada Stagefright-ussil saada miljoneid Android-telefone. Google väidab, et ASLR ja muud Androidi uusimate versioonide kaitsed aitavad takistada Stagefrighti ründamist ja see tundub olevat osaliselt tõene.
Mõned mobiilsidevõrgu operaatorid näivad olevat blokeerinud ka lõppkasutajale potentsiaalselt pahatahtliku MMS-sõnumi, mis takistab nende juurdepääsu haavatavatele telefonidele. See aitaks vältida ussi levitamist MMS-sõnumite kaudu vähemalt operaatoritel, kes võtavad meetmeid.
Image Credit: Matteo Doni on Flickr
