Reklame

En ny Android-sårbarhed har sikkerhedsverdenen bekymret - og den efterlader din Android-telefon ekstremt sårbar. Problemet kommer i form af seks bugs i et uskyldigt Android-modul kaldet Sceneskræk, der bruges til medieafspilning.

StageFright-fejlene tillader en ondsindet MMS, sendt af en hacker, at udføre ondsindet kode inde i StageFright-modulet. Derfra har koden et antal muligheder for at få kontrol over enheden. Lige nu er 950 millioner enheder sårbare over for denne udnyttelse.

Det er ganske enkelt sagt den værste Android-sårbarhed i historien.

Stille overtagelse

Android-brugere vokser allerede forstyrrelser over bruddet og med god grund. En hurtig scanning af Twitter viser mange irriterende brugere, der dukker op, når nyhederne gennemsyrer internettet.

Fra det, jeg hører, har endda Nexus-enheder ikke fået en patch til #Sceneskræk. Har nogen telefon? http://t.co/bnNRW75TrD

- Thomas Brewster (@iblametom) 27. juli 2015

En del af det, der gør dette angreb så skræmmende, er, at der er lidt brugere, der kan gøre for at beskytte sig mod det. De ville sandsynligvis ikke engang vide, at angrebet er sket.

instagram viewer

For at angribe en Android-enhed skal du normalt få brugeren til at installere en ondsindet app. Dette angreb er anderledes: angriberen behøver simpelthen at kende dit telefonnummer og sende en ondsindet multimediemeddelelse.

Afhængig af hvilken messaging-app, du bruger, ved du måske ikke engang, at beskeden ankom. For eksempel: hvis dine MMS-meddelelser går igennem Andoid's Google Hangouts Sådan bruges Google Hangouts på din AndroidGoogle+ Hangouts er Googles svar på chatrum. Du kan hænge ud med op til 12 personer ved hjælp af video, lyd og tekstchat samt flere valgfri apps. Hangout er tilgængeligt på din Android ... Læs mere , ville den ondsindede besked kunne tage kontrol og skjule sig, før systemet endda advarede brugeren om, at den var ankommet. I andre tilfælde sparker udnyttelsen muligvis ikke ind, før meddelelsen faktisk er vist, men de fleste brugere ville simpelthen afskrive den som ufarlig spam-tekst Identificer ukendte numre og blokerer spam-tekstmeddelelser med Truemessenger til AndroidTruemessenger er en fantastisk ny app til at sende og modtage tekstbeskeder, og den kan fortælle dig, hvem et ukendt nummer er og blokere spam. Læs mere eller et forkert nummer.

Når du er inde i systemet, har kode, der kører inden for StageFright, automatisk adgang til kameraet og mikrofonen, såvel som Bluetooth-perifere enheder og alle data, der er gemt på SD-kortet. Det er dårligt nok, men (desværre) det er bare starten.

Mens Android Lollipop implementerer en række sikkerhedsforbedringer 8 måder Opgradering til Android Lollipop gør din telefon mere sikkerVores smartphones er fulde af følsomme oplysninger, så hvordan kan vi holde os sikre? Med Android Lollipop, der pakker en stor punch i sikkerhedsarenaen, der bringer funktioner, der forbedrer sikkerheden overalt. Læs mere , er de fleste Android-enheder kører stadig ældre versioner af OS En hurtig guide til Android-versioner og -opdateringer [Android]Hvis nogen fortæller dig, at de kører Android, siger de ikke så meget, som du ville tro. I modsætning til de store computeroperativsystemer er Android et bredt operativsystem, der dækker adskillige versioner og platforme. Hvis du gerne vil ... Læs mere , og er sårbare over for noget, der kaldes et "privilegium eskaleringsangreb." Normalt er Android-apps “sandboxed Hvad er en sandkasse, og hvorfor skulle du spille i én?Meget forbindende programmer kan gøre meget, men de er også en åben invitation til dårlige hackere til at strejke. For at forhindre, at strejker bliver succesrige, er en udvikler nødt til at få øje på og lukke hvert eneste hul i ... Læs mere “, Så de kun har adgang til de aspekter af operativsystemet, som de har fået udtrykkelig tilladelse til at bruge. Privilege-eskaleringsangreb tillader ondsindet kode at "narre" Android-operativsystemet til at give det mere og mere adgang til enheden.

Når den ondsindede MMS har taget kontrol over StageFright, kunne den bruge disse angreb til at tage total kontrol over ældre, usikre Android-enheder. Dette er et mareridt-scenarie for enhedssikkerhed. De eneste enheder, der er helt immun mod dette problem, er dem, der kører operativsystemer, der er ældre end Android 2.2 (Froyo), som er den version, der introducerede StageFright i første omgang.

Langsom reaktion

StageFright-sårbarheden blev oprindeligt afsløret i april af Zimperium zLabs, en gruppe af sikkerhedsforskere. Forskerne rapporterede problemet til Google. Google frigav hurtigt en patch til producenterne - men meget få enhedsproducenter har faktisk skubbet patch'en til deres enheder. Forskeren, der opdagede fejlen, Joshua Drake, mener, at omkring 950 millioner af de anslåede 1 milliard Android-enheder i omløb er sårbare over for en form for angreb.

Yay! @BlackHatEvents accepterede elskværdig min underkastelse for at tale om min forskning på @Android's StageFright! https://t.co/9BW4z6Afmg

- Joshua J. Drake (@jduck) 20. maj 2015

Googles egne enheder som Nexus 6 er delvist blevet lappet i henhold til Drake, selvom der stadig er nogle sårbarheder. I en e-mail til FORBES om emnet forsikrede Google brugere om, at

”De fleste Android-enheder, inklusive alle nyere enheder, har flere teknologier, der er designet til at gøre udnyttelse vanskeligere. Android-enheder inkluderer også en applikationssandkasse designet til at beskytte brugerdata og andre applikationer på enheden, ”

Dette er dog ikke meget komfort. Indtil Android Jellybean Top 12 Jelly Bean-tip til en ny Google Tablet-oplevelseAndroid Jelly Bean 4.2, der oprindeligt blev afsendt på Nexus 7, giver en stor ny tabletoplevelse, der skitserer tidligere versioner af Android. Det imponerede endda vores residente Apple-fan. Hvis du har en Nexus 7, ... Læs mere , sandkassen i Android har været relativt svag, og der er flere kendte udnyttelser, der kan bruges til at komme omkring det. Det er virkelig vigtigt, at producenterne ruller ud en ordentlig programrettelse til dette problem.

Hvad kan du gøre?

Desværre kan hardwareproducenter være ekstremt langsomme med at rulle ud af disse slags kritiske sikkerhedsrettelser. Det er bestemt værd at kontakte din enhedsproducentens kundesupport og bede om et estimat for, hvornår patches vil være tilgængelige. Offentligt pres vil sandsynligvis hjælpe med at fremskynde tingene.

For Drakes del planlægger han at afsløre det fulde omfang af sine fund på DEFCON, en international sikkerhedskonference, der finder sted i begyndelsen af ​​august. Forhåbentlig vil den tilføjede reklame stimulere enhedsproducenter til at frigive opdateringer hurtigt, nu hvor angrebet er almindelig viden.

På en bredere note er dette et godt eksempel på, hvorfor Android-fragmentering er sådan et sikkerheds mareridt.

Igen er det en katastrofe #android opdateringer er i hænderne på hardware-producenterne. Bør skade Android alvorligt. #Sceneskræk

- Mike? (@Mipesom) 27. juli 2015

På et aflukket økosystem som iOS, kan en patch til dette skyndes ud i løbet af timer. På Android kan det tage måneder eller år at få hver enhed op til hastighed på grund af det enorme fragmenteringsniveau. Jeg er interesseret i at se, hvilke løsninger Google kommer frem i de kommende år for at begynde at bringe disse sikkerhedsvigtige opdateringer ud af enhedsproducenternes hænder.

Er du en Android-bruger, der er berørt af dette problem? Bekymret for dit privatliv? Fortæl os dine tanker i kommentarerne!

Billedkredit: Baggrundsbelyst tastatur af Wikimedia

Andre er en forfatter og journalist med base i det sydvestlige USA, og det garanteres at forblive funktionelt op til 50 grader Celcius og er vandtæt til en dybde på 12 meter.