1Sep
Android ima ogromno varnostno napako v komponentah, znanih kot »Stagefright«. Če prejmete zlonamerno sporočilo MMS, lahko pride do ogrožanja telefona. Presenetljivo je, da nismo videli, kako se črv širi od telefona do telefona, kot so črvi v zgodnjih operacijah Windows XP - vse so sestavine.
Pravzaprav je malo slabše, kot se sliši. Mediji so se v veliki meri osredotočili na metodo napadov MMS, vendar pa lahko tudi videoposnetki MP4, vdelani v spletne strani ali aplikacije, ogrozijo vaš telefon ali tablični računalnik.
Zakaj je napaka Stagefrighta nevarna - to ni samo MMS
Nekateri komentatorji so temu napadu klicali "Stagefright", vendar je dejansko napad na komponento v sistemu Android, imenovanem Stagefright. To je komponenta večpredstavnostnega predvajalnika v Androidu. To je ranljivost, ki jo je mogoče izkoriščati - najbolj nevarno prek sporočila MMS, ki je besedilno sporočilo z vgrajenimi večpredstavnostnimi komponentami.
Mnogi proizvajalci telefonov Android so nelagodno izbrali, da bi dali sistemske pravice Stagefright, kar je korak za korakom pod korenskim dostopom. Izkoriščanje Stagefright omogoča napadalcu zagnati arbtirarsko kodo z dovoljenji »medij« ali »sistem«, odvisno od načina konfiguriranja naprave. Sistemska dovoljenja bi napadalcu v bistvu omogočila dostop do svoje naprave. Zimperium, organizacija, ki je odkrila in sporočila vprašanje, ponuja več podrobnosti.
Tipične aplikacije za besedilna sporočila Android samodejno nalagajo vhodna sporočila MMS.To pomeni, da bi vam lahko nekdo poslali sporočilo prek telefonskega omrežja. Z vašim telefonom je ogrožen črv, ki uporablja to ranljivost, lahko prebere svoje stike in pošilja zlonamerna sporočila MMS svojim stikom, ki se širijo kot požar, kakršen je virus Melissa naredil leta 1999 z uporabo Outlookovih in e-poštnih stikov.
Začetna poročila so bila osredotočena na MMS, ker je bil to najbolj potencialno nevaren vektor, ki bi ga Stagefright lahko izkoristil. Ampak to ni samo MMS.Kot je poudaril Trend Micro, je ta ranljivost v komponenti "mediaserver" in zlonamerna datoteka MP4, ki je vdelana na spletno stran, jo lahko izkoristi - da, samo s krmarjenjem do spletne strani v vašem spletnem brskalniku. Datoteka MP4, vdelana v aplikacijo, ki želi izkoristiti napravo, bi lahko storila enako.
Ali je vaš pametni ali tablični računalnik ranljiv?
Naprava Android je verjetno ranljiva. Devetdeset in pet odstotkov naprave Android v naravi je ranljivo za Stagefrighta.
Če želite zagotovo preveriti, namestite aplikacijo Detector Stagefright iz Googla Play. To aplikacijo je izdelal Zimperium, ki je odkril in poročal o ranljivosti Stagefright. Preveril bo vašo napravo in vam povedal, ali je bila Stagefright na vašem telefonu Android popravljena ali ne.
Kako preprečiti napade Stagefright-a Če ste ranljivi
Kolikor vemo, vas protivirusne aplikacije Android ne bodo rešile napak Stagefright-a. Nimajo nujno, da imajo dovolj sistemskih dovoljenj za prestrezanje sporočil MMS in motenje sistemskih komponent. Google tudi ne more posodobiti komponente storitve Google Play v sistemu Android, da bi odpravil to težavo, rešitev, ki jo Google uporablja pogosto, ko se pojavijo varnostne luknje.
Če želite preprečiti ogrožanje vaših sporočilnih aplikacij, morate preprečiti nalaganje in zagon MMS sporočil. Na splošno to pomeni, da v nastavitvah onemogočite nastavitev »Samodejno nalaganje MMS«.Ko prejmete sporočilo MMS, se ne bo samodejno prenesel - ga boste morali prenesti tako, da tapnete na mesto ali kaj podobnega. Ne boste ogroženi, če ne boste izbrali MMS.
To ne bi smeli storiti.Če je MMS od nekoga, ki ga ne poznate, ga zagotovo prezrite.Če je MMS od prijatelja, je mogoče, da je njihov telefon ogrožen, če se črv začne vzleteti. Najvarneje je, da nikoli ne prenesete sporočil MMS, če je vaš telefon ranljiv.
Če želite onemogočiti samodejno nalaganje sporočil MMS, upoštevajte ustrezne korake za aplikacijo za sporočila.
- Sporočila ( vgrajena v Android): odprite sporočila, tapnite gumb menija in tapnite Nastavitve. Pomaknite se do razdelka »Večpredstavnostna sporočila« in počistite polje »Samodejno nalaganje«.
- Messenger ( od Googla): odprite Messenger, tapnite meni, tapnite Nastavitve, tapnite Advanced in onemogočite »Samodejno nalaganje«.
- Hangouts( od Googla): Odprite pogovore Hangouts, tapnite meni in se pomaknite do možnosti Nastavitve & gt;SMS.Počistite polje »Samodejno nalaganje SMS« v razdelku »Napredno«.(Če tukaj ne vidite možnosti SMS, telefon ne uporablja pogovorov Hangouts za SMS. Onemogočite nastavitev v aplikaciji SMS, ki jo uporabljate.)
- Sporočila ( od Samsung): odprite sporočila in se pomaknite na Več> gt;Nastavitve & gt;Več nastavitev. Tapnite Večpredstavnostna sporočila in onemogočite možnost »Samodejno nalaganje«.Ta nastavitev je lahko na drugem mestu na različnih napravah Samsung, ki uporabljajo različne različice aplikacije Messages.
Tukaj ni mogoče izdelati celotnega seznama. Odprite aplikacijo, ki jo uporabljate za pošiljanje sporočil SMS( besedilna sporočila) in poiščite možnost, ki onemogoči »samodejno nalaganje« ali »samodejni prenos« sporočil MMS.
Opozorilo : Če se odločite za prenos sporočila MMS, ste še vedno ranljivi. In ker ranljivost Stagefright ni samo problem sporočila MMS, to vas ne bo popolnoma zaščitilo pred vsako vrsto napada.
Kdaj je vaš telefon dobil obliž?
Namesto da poskušate odpraviti napako, bi bilo bolje, če je vaš telefon pravkar prejel posodobitev, ki jo je popravila. Na žalost je stanje posodobitve Android trenutno nočna mora.Če imate nedavni vodilni telefon, lahko na neki točki verjetno pričakujete nadgradnjo - upajmo.Če imate starejši telefon, še posebej telefon nižjega cenovnega razreda, obstaja velika verjetnost, da ne boste nikoli prejeli posodobitve.
- Nexus Devices : Google je zdaj izdal posodobitve za Nexus 4, Nexus 5, Nexus 6, Nexus 7( 2013), Nexus 9 in Nexus 10. Originalni Nexus 7( 2012) očitno ni več podprt in ne bose popravi
- Samsung : Sprint je začel potiskati posodobitve za Galaxy S5, S6, S6 Edge in Note Edge. Ni jasno, kdaj drugi prevozniki potiskajo te posodobitve.
Google je Ars Technici povedal tudi, da naj bi v avgustu dobili najnovejše naprave s sistemom Android, med drugim:
- Samsung : Galaxy S3, S4 in Note 4, poleg zgornjih telefonov.
- HTC : One M7, One M8 in One M9.
- LG : G2, G3 in G4.
- Sony : Xperia Z2, Z3, Z4 in Z3 Compact.
- Android One naprave, ki jih podpira Google
Motorola je tudi napovedal, da bo svoje telefone popravil s posodobitvami, ki se bodo začele avgusta, vključno z Moto X( prva in druga generacija), Moto X Pro, Moto Maxx / Turbo, Moto G( 1.,2. in 3. generacije), Moto G s 4G LTE( prva in druga generacija), Moto E( prva in druga generacija), Moto E z 4G LTE( 2. generacija), DROID Turbo in DROID Ultra /Mini/ Maxx.
Google Nexus, Samsung in LG so se zavezali, da bodo posodobili svoje telefone z varnostnimi posodobitvami enkrat na mesec. Vendar pa se ta obljuba res nanaša le na vodilne telefone in bi zahtevala, da bi prevozniki sodelovali. Ni jasno, kako dobro bi to delovalo. Ponudniki bi lahko na ta način poskrbeli za to posodobitev, kar še vedno pušča veliko število - na tisoče različnih modelov - telefonov v uporabi brez posodobitve.
Ali pa samo namestite CyanogenMod
CyanogenMod je tretji stranski ROM za Android, ki ga pogosto uporabljajo navdušenci. Prinaša aktualno različico Androida za naprave, ki so jih proizvajalci prenehali podpirati. To sploh ni idealna rešitev za povprečno osebo, saj zahteva odklenitev zagonskega telefona vašega telefona.Če pa je telefon podprt, lahko s tem trikom dobite trenutno različico Androida s trenutnimi varnostnimi posodobitvami. Ni slabo ideja, da namestite CyanogenMod, če vaš proizvajalec ne podpira več telefona.
CyanogenMod je v nočnih različicah določil ranljivost Stagefright, popravilo pa naj bi kmalu doseglo stabilno različico prek posodobitve OTA.
Android ima težavo: večina naprav ne dobiva varnostnih posodobitev
To je samo eden od mnogih varnostnih lukenj starih naprav Android, žalostno. To je še posebej slaba, ki ima več pozornosti. Večina naprav Android - vse naprave s sistemom Android 4.3 in starejšimi - imajo na primer občutljivo komponento spletnega brskalnika. To ne bo nikoli popravek, razen če naprave nadgradijo na novejšo različico Androida. Lahko se zaščitite pred tem, tako da zaženete Chrome ali Firefox, vendar bo ta ranljiv brskalnik vedno na teh napravah, dokler jih ne zamenjate. Proizvajalci niso zainteresirani za njihovo vzdrževanje in vzdrževanje, zato se je tako veliko ljudi obrnilo na CyanogenMod.
Google, proizvajalci naprav Android in mobilni operaterji morajo ukrepati po naročilu, saj sedanji način posodabljanja - ali ne nazadnje posodobitve - naprave Android vodijo do ekosistema Android z napravami, ki sčasoma razvijajo luknje. Zato so iPhone-i bolj varni kot Android telefoni - iPhonei dejansko dobijo varnostne posodobitve. Apple se je zavezal, da bo posodobitve iPhonov daljši od Googla( samo telefoni Nexus), Samsung in LG se zavzemajo za nadgradnjo svojih telefonov.
Verjetno ste slišali, da je uporaba operacijskega sistema Windows XP nevarno, ker ni več posodobljena. XP bo še naprej gradil varnostne luknje skozi čas in postal bolj ranljiv. No, uporaba večine telefonov Android je enaka - tudi ne prejemajo varnostnih posodobitev.
Nekateri izzivi bi lahko preprečili, da črv Stagefright prevzame milijone telefonov Android. Google trdi, da ASLR in druge zaščite v najnovejših različicah Androida pomagajo pri preprečevanju napadov Stagefrighta in to se zdi delno resnično.
Nekateri mobilni operaterji prav tako blokirajo potencialno zlonamerno sporočilo MMS na svojem koncu, kar jim preprečuje, da bi kdaj dosegli ranljive telefone. To bi preprečilo širjenje črva prek sporočil MMS, vsaj pri prevoznikih, ki ukrepajo.
Image Credit: Matteo Doni na Flickr