1Sep
Android má masívnu bezpečnostnú chybu v komponente známej ako "Stagefright". Stačí, keď dostanete škodlivú správu MMS, môže spôsobiť ohrozenie vášho telefónu. Je prekvapujúce, že sme nevideli červ, ktorý sa šíri z telefónu na telefón, ako červy robili v raných dňoch Windows XP - všetky ingrediencie sú tu.
Je to vlastne o niečo horšie, ako to znie. Médiá sa z veľkej časti zamerali na metódu MMS útoku, ale aj videá MP4 vložené do webových stránok alebo aplikácií by mohli ohroziť váš telefón alebo tablet.
Prečo Tréma Chyba je nebezpečná - nie je to len MMS
Niektorí komentátori nazývajú tento útok "Tréma," ale v skutočnosti je to útok na jednu zo zložiek Android s názvom Tréma. Toto je komponent multimediálneho prehrávača v systéme Android. Má zraniteľnosť, ktorú možno zneužiť - najnebezpečnejšie prostredníctvom MMS, čo je textová správa s vloženými multimediálnymi komponentmi.
Mnohí výrobcovia telefónov so systémom Android sa nevedeli rozhodnúť, či budú mať povolenia systému Stagefright, čo je o krok pod prístupom root. Využívanie funkcie Stagefright umožňuje útočníkovi spustiť ľubovoľný kód s povoleniami "media" alebo "system" v závislosti od toho, ako je zariadenie nakonfigurované.Systémové povolenia by útočníkovi v podstate poskytovali prístup k svojmu zariadeniu. Zimperium, organizácia, ktorá objavila a oznámila problém, ponúka ďalšie podrobnosti.
Typické aplikácie na odosielanie textových správ Androidu automaticky načítajú prichádzajúce správy MMS.To znamená, že by ste mohli byť ohrození iba tým, kto vám posiela správu cez telefónnu sieť.S telefónom, ktorý je ohrozený, červa s touto chybou zabezpečila čítanie vašich kontaktov a posielanie škodlivých správ MMS do vašich kontaktov, ktoré sa šírili ako požiar, aký bol vírus Melissa v roku 1999, pomocou kontaktov Outlook a e-mailov.
Počiatočné správy zamerané na MMS, pretože to bol najviac potenciálne nebezpečný vektor, ktorý by Stagefright mohol využiť.Nie je to však len MMS.Ako uviedla spoločnosť Trend Micro, táto chyba je v komponente "mediaserver" a škodlivý súbor MP4 vložený na webovej stránke by mohol zneužiť túto funkciu - áno, jednoducho prejdením na webovú stránku vo vašom webovom prehliadači. Súbor MP4 vložený do aplikácie, ktorá chce používať vaše zariadenie, môže urobiť to isté.
je váš smartphone alebo tablet zraniteľný?
Vaše zariadenie s Androidom je pravdepodobne zraniteľné.Deväťdesiatpäť percent zariadení Android vo voľnej prírode je zraniteľných voči spoločnosti Stagefright.
Ak chcete skontrolovať, nainštalujte aplikáciu Stagefright Detector od Google Play. Táto aplikácia bola vytvorená používateľom Zimperium, ktorý zistil a hlásil zraniteľnosť Stagefright. Skontroluje vaše zariadenie a povie vám, či bol Stagefright na vašom telefóne s Androidom záplaty alebo nie.
Ako zabrániť útokom Stagefright Ak ste zraniteľný
Pokiaľ vieme, antivírusové aplikácie Android vás nezachránia pred útokmi Stagefright. Nemusia mať dostatočné systémové povolenia na zachytenie správ MMS a zasahovanie do systémových komponentov. Spoločnosť Google tiež nedokáže aktualizovať súčasť služby Google Play v systéme Android, aby túto chybu opravila, čo je riešenie patchwork, ktoré spoločnosť Google často využíva, keď sa objavia bezpečnostné otvory.
Ak chcete skutočne zabrániť tomu, aby ste boli ohrození, musíte zabrániť tomu, aby aplikácia na odosielanie správ, ktorú si vyberiete, stiahla a spustila správy MMS.Vo všeobecnosti to znamená zakázanie nastavenia "MMS auto-retrieval" vo svojich nastaveniach. Keď dostanete správu MMS, nebude sa automaticky sťahovať - budete ju musieť stiahnuť kliknutím na zástupný symbol alebo podobne. Nebudete ohrozené, pokiaľ si nezvolíte preberanie MMS.
Nemali by ste to robiť.Ak je MMS od niekoho, koho nepoznáte, určite ju ignorujte. Ak je MMS od priateľa, bolo by možné, že ich telefón bude ohrozený, ak sa červ začne vzlietnuť.Je to najbezpečnejšie, ak si nikdy nepostupujete vo formáte MMS, ak je váš telefón zraniteľný.
Ak chcete zakázať automatické vyhľadávanie správ MMS, postupujte podľa príslušných krokov pre aplikáciu na odosielanie správ.
- Správy ( zabudované do systému Android): Otvorte Správy, klepnite na tlačidlo ponuky a klepnite na Nastavenia. Prejdite do sekcie "Multimediálne správy( MMS)" a zrušte začiarknutie políčka "Automatické načítanie".
- Messenger ( od spoločnosti Google): Otvorte aplikáciu Messenger, klepnite na ponuku, klepnite na Nastavenia, klepnite na Rozšírené a deaktivujte automatické načítanie. ( od spoločnosti Google): Otvorte Hangouts, klepnite na ponuku a prejdite na položku Nastavenia & gt;SMS.Zrušte začiarknutie políčka Automatické načítanie SMS v časti Rozšírené.(Ak tu nie sú zobrazené možnosti SMS, váš telefón nepoužíva službu Hangouts na odosielanie správ SMS. Vypnite toto nastavenie v aplikácii SMS, ktorú ste použili.)
- Správy ( od spoločnosti Samsung): Otvorte Správy a prejdite na položku Viac & gt;Nastavenia & gt;Viac nastavení.Klepnite na položku Multimediálne správy a deaktivujte možnosť "Automatické načítanie".Toto nastavenie môže byť na inom mieste v rôznych zariadeniach Samsung, ktoré používajú rôzne verzie aplikácie Správy.
Tu nie je možné zostaviť kompletný zoznam. Stačí otvoriť aplikáciu, ktorú používate na odosielanie SMS správ( textové správy), a vyhľadajte možnosť, ktorá zakáže automatické načítanie alebo automatické preberanie správ MMS.
Upozornenie : Ak sa rozhodnete preberať MMS správu, stále ste zraniteľní.A keďže zraniteľnosť Stagefright nie je len otázkou správy MMS, nebude to úplne ochrániť pred každým typom útoku.
Kedy je váš telefón dostal opravu?
Namiesto toho, aby ste sa pokúšali vyriešiť chybu, bolo by lepšie, keby váš telefón práve dostal aktualizáciu, ktorá ju opravila. Bohužiaľ, aktualizácia situácie Android je v súčasnosti nočnou morou. Ak máte nedávny vlajkový telefón, môžete pravdepodobne očakávať upgrade na nejakom mieste - dúfajme. Ak máte starší telefón, predovšetkým telefón s nižším koncovým rozlíšením, máte veľkú šancu, že nedostanete aktualizáciu. ASUS Nexus Devices : Spoločnosť Google teraz vydáva aktualizácie pre produkty Nexus 4, Nexus 5, Nexus 6, Nexus 7( 2013), Nexus 9 a Nexus 10. Pôvodný Nexus 7( 2012) sa zdá, že už nie je podporovaný a nebudebyť patch
Google tiež povedal spoločnosti Ars Technica, že "najobľúbenejšie zariadenia Android" by sa dostali aktualizáciu v auguste, vrátane:
- Samsung : Galaxy S3, S4 a Poznámka 4, okrem telefónov uvedených vyššie.
- HTC : Jeden M7, jeden M8 a jeden M9.
- LG : G2, G3 a G4.
- Sony : Kompakty Xperia Z2, Z3, Z4 a Z3.
- Android Jeden zariadenia podporované spoločnosťou Google
Motorola tiež oznámila, že bude opravovať svoje telefóny s aktualizáciami od augusta, vrátane Moto X( 1. a 2. generácia), Moto X Pro, Moto Maxx / Turbo, Moto G( 1.,2. a 3. generácia), Moto G s 4G LTE( 1. a 2. generáciou), Moto E( 1. a 2. generácia), Moto E s 4G LTE( druhá generácia), DROID Turbo a DROID Ultra /Mini/ Maxx.
Google Nexus, Samsung a LG sa zaviazali aktualizovať svoje telefóny s aktualizáciami zabezpečenia raz za mesiac. Tento prísľub sa však skutočne vzťahuje iba na vlajkové telefóny a vyžaduje si spoluprácu dopravcov. Nie je jasné, ako dobre to bude fungovať.Dopravcovia by mohli potenciálne prekážať týmto aktualizáciám, a to stále ponecháva veľké množstvo - tisícky rôznych modelov - telefónov v prevádzke bez aktualizácie.
Alebo stačí nainštalovať CyanogenMod
CyanogenMod je vlastný ROM od iných výrobcov, ktorý často používajú nadšenci. Prináša aktuálnu verziu systému Android zariadeniam, ktoré výrobcovia prestali podporovať.Toto nie je naozaj ideálne riešenie pre priemerného človeka, pretože vyžaduje odomknutie zavádzacieho zariadenia vášho telefónu. Ak je však váš telefón podporovaný, môžete použiť tento trik na získanie aktuálnej verzie Android so súčasnými aktualizáciami zabezpečenia. Nie je zlý nápad nainštalovať produkt CyanogenMod, ak váš telefón už nie je podporovaný jeho výrobcom.
CyanogenMod vyriešil zraniteľnosť Stagefright v nočných verziách a oprava by mala čoskoro dosiahnuť stabilnú verziu prostredníctvom aktualizácie OTA.
Android má problém: Väčšina zariadení nemajú aktualizácie zabezpečenia
To je len jeden z mnohých bezpečnostných dier, staré zariadenia Android sa vytvárajú bohužiaľ.Je to len veľmi zlé, ktoré dostáva čoraz väčšiu pozornosť.Väčšina zariadení so systémom Android - všetkým zariadeniam so systémom Android 4.3 a starším - má napríklad zraniteľný komponent webového prehliadača. Toto sa nikdy nezapíše, pokiaľ zariadenia nedosiahnu inováciu na novšiu verziu systému Android. Môžete sa jej chrániť pred spustením prehliadača Chrome alebo Firefoxu, ale tento zraniteľný prehliadač bude navždy na týchto zariadeniach, kým nebudú nahradení.Výrobcovia nemajú záujem o aktualizáciu a údržbu, a preto sa toľko ľudí obráti na CyanogenMod.
spoločnosť Google, výrobcovia zariadení s Androidom a mobilní operátori potrebujú dostať svoje konanie v poriadku, keďže súčasná metóda aktualizácie - alebo skôr neaktualizácia - zariadenia s Androidom vedie k ekosystému Android so zariadeniami, ktoré v priebehu času vytvárajú otvory. To je dôvod, prečo sú telefóny iPhone bezpečnejšie ako telefóny s Androidom - iPhones skutočne získajú aktualizácie zabezpečenia. Spoločnosť Apple sa zaviazala aktualizovať telefóny iPhone dlhšie ako spoločnosť Google( len telefóny Nexus), spoločnosť Samsung a spoločnosť LG sa zaväzujú aktualizovať svoje telefóny.
Pravdepodobne ste počuli, že používanie systému Windows XP je nebezpečné, pretože sa už neaktualizuje. XP bude aj naďalej vytvárať bezpečnostné diery v priebehu času a stane sa čoraz zraniteľnejšími. No, väčšina telefónov so systémom Android je rovnaká - nedostávajú ani aktualizácie zabezpečenia.
Niektoré zmiernenie zneužitia pomôžu zabrániť tomu, aby červ Stagefright prevzal milióny telefónov so systémom Android. Spoločnosť Google tvrdí, že ASLR a ďalšie ochrany na najnovších verziách systému Android zabraňujú útoku programu Stagefright a zdá sa, že to je čiastočne pravdivé.
Zdá sa, že niektoré bunkové nosiče na svojom konci blokujú potenciálne škodlivú správu MMS a zabraňujú im, aby sa stále dostávali k zraniteľným telefónom. To by pomohlo zabrániť šíreniu červov prostredníctvom MMS správ, prinajmenšom pre operátorov.
Image Credit: Matteo Doni na Flickr