Διαφήμιση
Μια νέα ευπάθεια Android ανησυχεί τον κόσμο της ασφάλειας - και αφήνει το τηλέφωνό σας Android εξαιρετικά ευάλωτο. Το ζήτημα έρχεται με τη μορφή έξι σφαλμάτων σε μια αθώα ενότητα Android που ονομάζεται Τρακ, το οποίο χρησιμοποιείται για την αναπαραγωγή πολυμέσων.
Τα σφάλματα StageFright επιτρέπουν σε ένα κακόβουλο MMS, που αποστέλλεται από έναν χάκερ, να εκτελεί κακόβουλο κώδικα μέσα στην ενότητα StageFright. Από εκεί, ο κώδικας έχει πολλές επιλογές για τον έλεγχο της συσκευής. Από τώρα, περίπου 950 εκατομμύρια συσκευές είναι ευάλωτα σε αυτήν την εκμετάλλευση.
Με απλά λόγια, είναι η χειρότερη ευπάθεια Android στην ιστορία.
Σιωπηλή εξαγορά
Οι χρήστες Android έχουν ήδη αναστατωθεί για την παραβίαση και για καλό λόγο. Μια γρήγορη σάρωση του Twitter δείχνει πολλούς ενοχλημένους χρήστες να εμφανίζονται καθώς τα νέα διαπερνούν τον Ιστό.
Από όσα ακούω, ακόμη και σε συσκευές Nexus δεν έχει δοθεί ενημέρωση κώδικα #Τρακ. Έχει τηλέφωνο; http://t.co/bnNRW75TrD
- Thomas Brewster (@iblametom) 27 Ιουλίου 2015
Μέρος αυτού που κάνει αυτήν την επίθεση τόσο τρομακτική είναι ότι υπάρχουν λίγοι χρήστες που μπορούν να κάνουν για να προστατευθούν από αυτήν. Πιθανώς, δεν θα γνώριζαν καν ότι η επίθεση έχει συμβεί.
Κανονικά, για να επιτεθείτε σε μια συσκευή Android, πρέπει να κάνετε τον χρήστη να εγκαταστήσει μια κακόβουλη εφαρμογή. Αυτή η επίθεση είναι διαφορετική: ο εισβολέας θα πρέπει απλώς να γνωρίζει τον αριθμό τηλεφώνου σας και να στέλνει ένα κακόβουλο μήνυμα πολυμέσων.
Ανάλογα με την εφαρμογή ανταλλαγής μηνυμάτων που χρησιμοποιείτε, ίσως να μην γνωρίζετε καν ότι το μήνυμα έφτασε. Για παράδειγμα: εάν τα μηνύματα MMS περνούν Το Google Hangouts του Andoid Πώς να χρησιμοποιήσετε το Google Hangouts στο Android σαςΤο Google+ Hangouts είναι η απάντηση της Google στα δωμάτια συνομιλίας. Μπορείτε να κάνετε παρέα με έως και 12 άτομα χρησιμοποιώντας συνομιλία μέσω βίντεο, ήχου και κειμένου, καθώς και πολλές προαιρετικές εφαρμογές. Το Hangout είναι διαθέσιμο στο Android σας ... Διαβάστε περισσότερα , το κακόβουλο μήνυμα θα μπορούσε να πάρει τον έλεγχο και να κρυφτεί προτού το σύστημα ειδοποιήσει ακόμη και τον χρήστη ότι είχε φτάσει. Σε άλλες περιπτώσεις, η εκμετάλλευση μπορεί να μην κλωτσήσει μέχρι να προβληθεί το μήνυμα, αλλά οι περισσότεροι χρήστες απλώς θα το έγραφαν ως αβλαβές ανεπιθύμητο κείμενο Προσδιορίστε άγνωστους αριθμούς και αποκλείστε μηνύματα ανεπιθύμητου κειμένου με το Truemessenger για AndroidΤο Truemessenger είναι μια φανταστική νέα εφαρμογή για την αποστολή και τη λήψη μηνυμάτων κειμένου και μπορεί να σας πει ποιος είναι ένας άγνωστος αριθμός και αποκλείει τα ανεπιθύμητα μηνύματα. Διαβάστε περισσότερα ή λάθος αριθμός.
Μόλις εισέλθει στο σύστημα, ο κώδικας που εκτελείται εντός του StageFright έχει αυτόματα πρόσβαση στην κάμερα και το μικρόφωνο, καθώς και στα περιφερειακά Bluetooth και σε οποιαδήποτε δεδομένα αποθηκεύονται στην κάρτα SD. Αυτό είναι αρκετά κακό, αλλά (δυστυχώς) είναι μόνο η αρχή.
Ενώ το Android Lollipop υλοποιεί μια σειρά βελτιώσεων ασφαλείας 8 τρόποι αναβάθμισης σε Android Lollipop κάνει το τηλέφωνό σας πιο ασφαλέςΤα smartphone μας είναι γεμάτα ευαίσθητες πληροφορίες, οπότε πώς μπορούμε να διατηρήσουμε τον εαυτό μας ασφαλή; Με το Android Lollipop, το οποίο διαθέτει μεγάλη γροθιά στον χώρο της ασφάλειας, φέρνει δυνατότητες που βελτιώνουν την ασφάλεια σε όλους τους τομείς. Διαβάστε περισσότερα , οι περισσότερες συσκευές Android είναι εξακολουθεί να εκτελεί παλαιότερες εκδόσεις του λειτουργικού συστήματος Ένας γρήγορος οδηγός για εκδόσεις και ενημερώσεις Android [Android]Εάν κάποιος σας πει ότι εκτελεί Android, δεν λέει τόσο πολύ όσο νομίζετε. Σε αντίθεση με τα μεγάλα λειτουργικά συστήματα υπολογιστών, το Android είναι ένα ευρύ λειτουργικό σύστημα που καλύπτει πολλές εκδόσεις και πλατφόρμες. Αν θέλετε ... Διαβάστε περισσότερα και είναι ευάλωτοι σε κάτι που ονομάζεται «επίθεση κλιμάκωσης προνομίων». Κανονικά, οι εφαρμογές Android είναι "με άμμο Τι είναι ένα Sandbox και γιατί πρέπει να παίζετε σε έναΤα εξαιρετικά συνδεόμενα προγράμματα μπορούν να κάνουν πολλά, αλλά είναι επίσης μια ανοιχτή πρόσκληση για τους κακούς χάκερ να επιτεθούν. Για να αποφευχθεί η επιτυχία των προειδοποιήσεων, ένας προγραμματιστής θα πρέπει να εντοπίσει και να κλείσει κάθε τρύπα σε ... Διαβάστε περισσότερα ", Επιτρέποντάς τους να έχουν πρόσβαση μόνο σε εκείνες τις πτυχές του λειτουργικού συστήματος που τους έχει δοθεί ρητή άδεια χρήσης. Οι επιθέσεις κλιμάκωσης Privilege επιτρέπουν στον κακόβουλο κώδικα να «ξεγελάσει» το λειτουργικό σύστημα Android ώστε να του δίνει όλο και περισσότερη πρόσβαση στη συσκευή.
Μόλις το κακόβουλο MMS πάρει τον έλεγχο του StageFright, θα μπορούσε να χρησιμοποιήσει αυτές τις επιθέσεις για να πάρει τον απόλυτο έλεγχο σε παλαιότερες, ανασφαλείς συσκευές Android. Αυτό είναι ένα σενάριο εφιάλτη για την ασφάλεια της συσκευής. Οι μόνες συσκευές που είναι εντελώς απρόσβλητες σε αυτό το ζήτημα είναι εκείνες που εκτελούν λειτουργικά συστήματα παλαιότερα από το Android 2.2 (Froyo), η οποία είναι η έκδοση που παρουσίασε το StageFright στην πρώτη θέση.
Αργή απόκριση
Η ευπάθεια του StageFright ανακαλύφθηκε αρχικά τον Απρίλιο από Zimperium zLabs, μια ομάδα ερευνητών ασφαλείας. Οι ερευνητές ανέφεραν το ζήτημα στην Google. Η Google κυκλοφόρησε γρήγορα ένα έμπλαστρο στους κατασκευαστές - ωστόσο, πολύ λίγοι κατασκευαστές συσκευών έχουν ωθήσει το έμπλαστρο στις συσκευές τους. Ο ερευνητής που ανακάλυψε το σφάλμα, ο Joshua Drake, πιστεύει ότι περίπου 950 εκατομμύρια από περίπου ένα δισεκατομμύριο συσκευές Android σε κυκλοφορία είναι ευάλωτες σε κάποια μορφή επίθεσης.
Ναι! @BlackHatEvents δέχτηκε ευγενικά την υποβολή μου για να μιλήσω για την έρευνά μου @AndroidΤο StageFright! https://t.co/9BW4z6Afmg
- Joshua J. Drake (@jduck) 20 Μαΐου 2015
Οι συσκευές της Google όπως το Nexus 6 έχουν μερικώς διορθωθεί σύμφωνα με τον Drake, αν και παραμένουν ορισμένες ευπάθειες. Σε ένα email στο FORBES σχετικά με το θέμα, η Google διαβεβαίωσε τους χρήστες ότι,
«Οι περισσότερες συσκευές Android, συμπεριλαμβανομένων όλων των νεότερων συσκευών, έχουν πολλές τεχνολογίες που έχουν σχεδιαστεί για να κάνουν την εκμετάλλευση πιο δύσκολη. Οι συσκευές Android περιλαμβάνουν επίσης ένα περιβάλλον δοκιμών εφαρμογών που έχει σχεδιαστεί για την προστασία των δεδομένων χρήστη και άλλων εφαρμογών στη συσκευή ".
Ωστόσο, αυτό δεν είναι πολύ άνετο. Μέχρι Android Jellybean Κορυφαίες 12 συμβουλές Jelly Bean για μια νέα εμπειρία στο Google TabletΤο Android Jelly Bean 4.2, το οποίο κυκλοφόρησε αρχικά στο Nexus 7, παρέχει μια υπέροχη νέα εμπειρία tablet που ξεπερνά τις προηγούμενες εκδόσεις του Android. Εντυπωσίασε ακόμη και τον κάτοικο της Apple. Εάν έχετε Nexus 7, ... Διαβάστε περισσότερα , το περιβάλλον δοκιμών στο Android ήταν σχετικά αδύναμο και υπάρχουν πολλά γνωστά πλεονεκτήματα που μπορούν να χρησιμοποιηθούν για να το ξεπεράσουν. Είναι πολύ σημαντικό οι κατασκευαστές να αναπτύξουν μια κατάλληλη ενημέρωση κώδικα για αυτό το ζήτημα.
Τι μπορείς να κάνεις?
Δυστυχώς, οι κατασκευαστές υλικού μπορεί να είναι εξαιρετικά αργοί για την ανάπτυξη αυτών των ειδών κρίσιμων επιδιορθώσεων ασφαλείας. Αξίζει σίγουρα να επικοινωνήσετε με το τμήμα υποστήριξης πελατών του κατασκευαστή της συσκευής σας και να ζητήσετε εκτίμηση σχετικά με το πότε θα είναι διαθέσιμες ενημερώσεις κώδικα. Η δημόσια πίεση πιθανότατα θα βοηθήσει στην επιτάχυνση των πραγμάτων.
Από την πλευρά του Drake, σκοπεύει να αποκαλύψει την πλήρη έκταση των ευρημάτων του στο DEFCON, ένα διεθνές συνέδριο ασφάλειας που θα πραγματοποιηθεί στις αρχές Αυγούστου. Ας ελπίσουμε ότι η προστιθέμενη δημοσιότητα θα ωθήσει τους κατασκευαστές συσκευών να κυκλοφορούν γρήγορα ενημερώσεις, τώρα που η επίθεση είναι κοινή γνώση.
Σε γενικές γραμμές, αυτό είναι ένα καλό παράδειγμα για το γιατί ο κατακερματισμός Android είναι ένας εφιάλτης ασφαλείας.
Και πάλι είναι μια καταστροφή που # Ανδροειδές οι ενημερώσεις βρίσκονται στα χέρια των κατασκευαστών υλικού. Πρέπει να βλάψετε σοβαρά το Android. #Τρακ
- Μάικ; (@mipesom) 27 Ιουλίου 2015
Σε ένα κλειδωμένο οικοσύστημα όπως το iOS, ένα έμπλαστρο για αυτό θα μπορούσε να βγει έξω σε ώρες. Σε Android, μπορεί να χρειαστούν μήνες ή χρόνια για να επιταχυνθεί κάθε συσκευή λόγω του τεράστιου επιπέδου κατακερματισμού. Ενδιαφέρομαι να δω ποιες λύσεις θα βρει η Google τα επόμενα χρόνια για να ξεκινήσει να φέρνει αυτές τις σημαντικές ενημερώσεις ασφαλείας από τα χέρια των κατασκευαστών συσκευών.
Είστε χρήστης Android που επηρεάζεται από αυτό το ζήτημα; Ανησυχείτε για το απόρρητό σας; Πείτε μας τις σκέψεις σας στα σχόλια!
Πιστωτική εικόνα: Πληκτρολόγιο με οπίσθιο φωτισμό από το Wikimedia
Ένας συγγραφέας και δημοσιογράφος που εδρεύει στη Νοτιοδυτική πλευρά, ο Andre είναι εγγυημένος ότι θα παραμείνει λειτουργικός έως 50 βαθμούς Κελσίου και είναι αδιάβροχος σε βάθος δώδεκα ποδιών.