Sisällysluettelo:
- Mikä on Stagefright 2.0?
- Vaikuttaako puhelin tai tabletti?
- Mitä Google tekee tässä?
- Kuinka voin pysyä turvassa, kunnes korjaustiedosto saapuu puhelimeen tai tablettiin?
- Onko tämä maailman loppu?
Viimeiset pari kuukautta on täynnä paljon epävarmuutta, joka liittyy joukkoon aiheita, joista suosittiin nimeltä Stagefright, nimi ansaittu, koska suurin osa löydetyistä asioista liittyy libstagefrightiin Androidissa. Turvallisuusyritys Zimperium on julkaissut, mitä he kutsuvat Stagefright 2.0: ksi, kahdella uudella ongelmalla, jotka liittyvät mp3- ja mp4-tiedostoihin, joita voidaan manipuloida haittaohjelmien suorittamiseksi puhelimellasi.
Tässä on mitä me toistaiseksi tiedämme ja kuinka pitää itsesi turvassa.
Mikä on Stagefright 2.0?
Zimperiumin mukaan pari äskettäin löydettyjä haavoittuvuuksia antaa hyökkääjälle mahdollisuuden esittää Android-puhelin tai -tabletti tiedostolla, joka näyttää MP3- tai MP4-tiedostolta, joten kun OS, joka tiedosto voi suorittaa tiedoston metatiedot, esikatselee sitä vahingoittava koodi. Jos mies on keskellä hyökkäystä tai verkkosivusto, joka on rakennettu erityisesti toimittamaan nämä väärin muodostuneet tiedostot, tämä koodi voidaan suorittaa käyttäjän tietämättä.
Zimperium väittää vahvistaneensa etäsuorittamisen ja ilmoittaneen siitä Googlelle 15. elokuuta. Vastauksena Google osoitti CVE-2015-3876 ja CVE-2015-6602 ilmoitettujen ongelmien pariin ja aloitti korjauksen.
Vaikuttaako puhelin tai tabletti?
Tavalla tai toisella kyllä. CVE-2015-6602 viittaa libutil-sovellusten haavoittuvuuteen, ja kuten Zimperium huomauttaa tämän haavoittuvuuden löytämistä koskevassa ilmoituksessaan, se vaikuttaa jokaisessa Android-puhelimessa ja -tabletissa aina Android 1.0: een asti. CVE-2015-3876 vaikuttaa kaikkiin Android 5.0 -versioihin tai uudempiin puhelimiin tai tablet-laitteisiin, ja teoriassa se voidaan toimittaa verkkosivuston kautta tai keskimmäisessä hyökkäyksessä olevien ihmisten kautta.
KUITENKIN.
Tällä hetkellä ei ole julkisia esimerkkejä siitä, että tätä haavoittuvuutta olisi koskaan käytetty hyväksi mille tahansa laboratorio-olosuhteiden ulkopuolella, ja Zimperium ei aio jakaa konseptitutkintoa, jota he käyttivät osoittaakseen tämän ongelman Googlelle. Vaikka on mahdollista, että joku muu voi selvittää tämän hyväksikäytön ennen kuin Google julkaisee korjaustiedoston, on epätodennäköistä, että hyväksikäytön takana olevat yksityiskohdat pidetään edelleen yksityisinä.
Mitä Google tekee tässä?
Googlen lausunnon mukaan lokakuun tietoturvapäivitys korjaa nämä molemmat haavoittuvuudet. Nämä laastarit tehdään AOSP: ssä, ja ne julkaistaan Nexus-käyttäjille 5. lokakuuta alkaen. Kotkasilmäiset lukijat ovat ehkä huomanneet äskettäin tarkastelemillamme Nexus 5X- ja Nexus 6P -sovelluksilla jo lokakuun 5. päivityksen asennuksen, joten jos tilaat jonkin näistä puhelimista, laitteisto saapuu paikalleen näitä haavoittuvuuksia vastaan. Lisätietoja laastarista on Android Security Google -ryhmässä 5. lokakuuta.
Muiden kuin Nexus-puhelimien osalta Google toimitti lokakuun tietoturvapäivityksen yhteistyökumppaneille 10. syyskuuta, ja se on tehnyt yhteistyötä valmistajien ja valmistajien kanssa päivityksen toimittamiseksi mahdollisimman pian. Jos katsot luetteloa viimeisimmän Stagefright-hyödynnetyn laitteen laitteista, saat kohtuullisen kuvan siitä, mitä laitteistoa pidetään tässä prosessissa prioriteettina.
Kuinka voin pysyä turvassa, kunnes korjaustiedosto saapuu puhelimeen tai tablettiin?
Jos joku todella juoksee ympäriinsä Stagefright 2.0: n hyväksi ja yrittää saastuttaa Android-käyttäjiä, mikä taas on erittäin epätodennäköistä julkisten yksityiskohtien puutteen takia, turvallisuuden säilyttämisen avaimessa on kaikki tehtävä kiinnittää huomiota mihin olet ” selaat uudelleen ja mihin olet yhteydessä.
Vältä julkisia verkkoja, kun voit, luota kahden tekijän todennukseen aina kun mahdollista ja pysy mahdollisimman kaukana varjoisista verkkosivustoista. Enimmäkseen järkeviä web-juttuja itsesi turvaamiseksi.
Onko tämä maailman loppu?
Ei edes vähän. Vaikka kaikki Stagefright-haavoittuvuudet ovat todella vakavia ja niitä on käsiteltävä sellaisenaan, Zimperiumin ja Googlen välinen viestintä näiden ongelmien ratkaisemiseksi mahdollisimman nopeasti on ollut upeaa. Zimperium on perustellusti kiinnittänyt huomiota Android-ongelmiin, ja Google on asettunut korjaamaan ongelman. Täydellisessä maailmassa näitä haavoittuvuuksia ei olisi, mutta niitä on ja niihin puututaan nopeasti. Ei voi kysyä paljon muuta kuin tilanne, jossa olemme.
