Skelbimas
Naujas „Android“ pažeidžiamumas kelia susirūpinimą saugumo pasauliui - dėl to jūsų „Android“ telefonas tampa ypač pažeidžiamas. Ši problema yra šešių klaidų, esančių nekenksmingu „Android“ moduliu, pavadinimu, pavidalu Scenos baimė, kuris naudojamas medijos atkūrimui.
„StageFright“ klaidos leidžia kenkėjiškam MMS, kurį atsiuntė įsilaužėlis, vykdyti kenkėjišką kodą „StageFright“ modulio viduje. Nuo šiol kodas turi keletą galimybių valdyti įrenginį. Šiuo metu šis išnaudojimas yra pažeidžiamas maždaug 950 milijonų įrenginių.
Paprasčiau tariant, tai yra blogiausias „Android“ pažeidžiamumas istorijoje.
Tylus perėmimas
„Android“ vartotojai jau yra sunerimę dėl pažeidimo ir dėl rimtos priežasties. Greitas „Twitter“ nuskaitymas rodo, kad daugybė pasipiktinusių vartotojų pasirodo, kai žinios sklinda į internetą.
Iš to, ką girdžiu, net „Nexus“ įrenginiams nebuvo suteiktas pataisas #Scenos baimė. Ar turi telefoną? http://t.co/bnNRW75TrD
- Thomasas Brewsteris (@iblametom) 2015 m. Liepos 27 d
Dalis, dėl ko ši ataka yra tokia bauginanti, yra ta, kad mažai vartotojų gali padaryti, kad apsisaugotų nuo jos. Tikriausiai jie net nežinotų, kad įvyko išpuolis.
Paprastai, norėdami užpulti „Android“ įrenginį, turite priversti vartotoją įdiegti kenkėjišką programą. Ši ataka yra kitokia: užpuolikui tereikia žinoti jūsų telefono numerį ir nusiųsti kenksmingą daugialypės terpės pranešimą.
Priklausomai nuo to, kurią pranešimų siuntimo programą naudojate, galbūt net nežinote, kad pranešimas gautas. Pvz.: jei jūsų MMS žinutės praeina „Andoid“ „Google Hangout“ Kaip naudotis „Google Hangouts“ „Android“„Google+ Hangout“ yra „Google“ atsakymas į pokalbių kambarius. Naudodamiesi vaizdo, garso ir teksto pokalbiais, taip pat keliomis pasirenkamomis programomis galite pabendrauti su iki 12 žmonių. „Hangout“ galima „Android“ ... Skaityti daugiau , kenkėjiška žinutė galės perimti valdymą ir paslėpti save, kol sistema net neįspėjo vartotojo, kad ji atvyko. Kitais atvejais išnaudojimas gali neįvykti, kol pranešimas nebus iš tikrųjų peržiūrėtas, tačiau dauguma vartotojų jį tiesiog nurašys kaip nekenksmingą. šlamšto tekstas Sužinokite apie nežinomus numerius ir blokuokite šlamšto tekstinius pranešimus naudodami „Truemessenger“, skirtą „Android“„Truemessenger“ yra fantastiškai nauja programa, skirta siųsti ir gauti tekstinius pranešimus, ji gali pasakyti, kas yra nežinomas numeris, ir užblokuoti šlamštą. Skaityti daugiau arba neteisingas skaičius.
Patekęs į sistemą, „StageFright“ veikiantis kodas automatiškai turi prieigą prie fotoaparato ir mikrofono, taip pat „Bluetooth“ periferinius įrenginius ir visus duomenis, saugomus SD kortelėje. Tai pakankamai blogai, bet (deja) tai tik pradžia.
Kol „Android Lollipop“ diegia nemažai saugumo patobulinimų 8 būdai, kaip atnaujinti „Android Lollipop“, jūsų telefonas taps saugesnisMūsų išmaniuosiuose telefonuose pilna neskelbtinos informacijos, tad kaip mes galime apsaugoti save? Naudodamas „Android Lollipop“, kuris saugos arenoje yra didelis smūgis, suteikia funkcijas, kurios pagerina saugumą visame pasaulyje. Skaityti daugiau , dauguma „Android“ įrenginių yra vis dar veikia senesnės OS versijos Trumpas „Android“ versijų ir naujinių vadovas [„Android“]Jei kas nors jums pasakys, kad veikia „Android“, jie sako ne tiek, kiek manote. Skirtingai nuo pagrindinių kompiuterių operacinių sistemų, „Android“ yra plati OS, apimanti daugybę versijų ir platformų. Jei norėtumėte ... Skaityti daugiau ir yra pažeidžiami dėl vadinamųjų „privilegijų eskalavimo išpuolių“. Paprastai „Android“ programos yra „smėlio dėžėje Kas yra smėlio dėžė, ir kodėl jūs turėtumėte žaisti viename?Ryškios programos gali nuveikti labai daug, tačiau jos taip pat yra atviras kvietimas blogajam įsilaužėjui streikuoti. Norėdami išvengti streikų pasisekimo, programuotojas turėtų pastebėti ir uždaryti kiekvieną skylę ... Skaityti daugiau “, Suteikiant jiems prieigą tik prie tų OS aspektų, kuriems jiems buvo suteiktas aiškus leidimas naudoti. Privilegijų eskalavimo atakos leidžia kenksmingam kodui „apgauti“ „Android“ operacinę sistemą, suteikiant jai vis daugiau prieigos prie įrenginio.
Kai kenksminga MMS perims „StageFright“ valdymą, ji galės naudoti šias atakas ir visiškai valdyti senesnius, nesaugius „Android“ įrenginius. Tai košmariškas įrenginio saugumo scenarijus. Vieninteliai įrenginiai, visiškai neatsparūs šiai problemai, yra tie, kuriuose veikia senesnės nei „Android 2.2“ („Froyo“) operacinės sistemos, kurios versija pirmiausia pristatė „StageFright“.
Lėtas atsakas
„StageFright“ pažeidžiamumą iš pradžių atskleidė balandžio mėn „Zimperium zLabs“, saugumo tyrėjų grupė. Tyrėjai pranešė apie problemą „Google“. „Google“ greitai išleido pataisą gamintojams - vis dėlto labai nedaugelis prietaisų gamintojų iš tikrųjų pastūmėjo pleistrą į savo įrenginius. Tyrimą aptikęs tyrėjas Joshua Drake'as mano, kad apie 950 mln iš maždaug vieno milijardo apyvartoje esančių „Android“ įrenginių yra pažeidžiami tam tikros atakos formos.
Valio! @BlackHatEvents maloningai priėmė mano pareiškimą kalbėti apie mano tyrimus apie @Android's StageFright! https://t.co/9BW4z6Afmg
- Joshua J. Drake (@jduck) 2015 m. Gegužės 20 d
Drake'o teigimu, patys „Google“ įrenginiai, tokie kaip „Nexus 6“, buvo iš dalies pataisyti, nors kai kurie pažeidžiamumai išlieka. El. Laiške FORBES šia tema „Google“ patikino vartotojus, kad,
„Daugelyje„ Android “įrenginių, įskaitant naujesnius įrenginius, yra keletas technologijų, skirtų apsunkinti jų naudojimą. „Android“ įrenginiuose taip pat yra programų smėlio dėžė, skirta apsaugoti vartotojo duomenis ir kitas įrenginio programas “,
Tačiau tai nėra didelis komfortas. Iki „Android Jellybean“ 12 geriausių „Jelly Bean“ patarimų, kaip gauti naujų „Google“ planšetinių kompiuterių patirties„Android Jelly Bean 4.2“, iš pradžių pristatyta „Nexus 7“, suteikia puikių naujų planšetinių kompiuterių patirtį, kuri pralenkia ankstesnes „Android“ versijas. Tai net padarė įspūdį mūsų „Apple“ gerbėjui. Jei turite „Nexus 7“, ... Skaityti daugiau , „sandbox“ „Android“ buvo palyginti silpnas, ir yra keli žinomi jo naudojimo būdai, kuriuos galima naudoti norint apeiti. Labai svarbu, kad gamintojai išspausdintų tinkamą taisymą šiai problemai spręsti.
Ką tu gali padaryti?
Deja, aparatinės įrangos gamintojai gali labai lėtai išleisti tokius svarbius saugos pataisus. Neabejotinai verta susisiekti su įrenginio gamintojo klientų aptarnavimo skyriumi ir paprašyti įvertinti, kada bus tinkami pleistrai. Visuomenės spaudimas tikriausiai padės paspartinti veiksmus.
Drake'as savo ruožtu planuoja atskleisti visus savo radinius rugpjūčio pradžioje vyksiančioje tarptautinėje saugumo konferencijoje DEFCON. Tikimės, kad padidėjęs viešumas paskatins prietaisų gamintojus greitai išleisti naujinius, kai apie išpuolį yra žinoma.
Kalbant plačiau, tai yra geras pavyzdys, kodėl „Android“ suskaidymas yra toks saugumo košmaras.
Vėl tai nelaimė #Android atnaujinimai yra aparatūros gamintojų rankose. Turėtų rimtai pakenkti „Android“. #Scenos baimė
- Maikas? (@mipesom) 2015 m. Liepos 27 d
Užrakintoje ekosistemoje, tokioje kaip „iOS“, tam tinkamas pleistras gali būti išmestas per kelias valandas. Dėl „Android“ gali prireikti mėnesių ar metų, kad visi įrenginiai paspartėtų dėl didžiulio susiskaidymo lygio. Man įdomu sužinoti, kokius sprendimus „Google“ sugalvos per ateinančius metus, kad šie saugumui būtini atnaujinimai būtų išleisti iš įrenginių gamintojų rankų.
Ar ši problema susijusi su „Android“ vartotoju? Nerimaujate dėl savo privatumo? Praneškite mums savo mintis komentaruose!
Vaizdo kreditas: Taupoma klaviatūra sukūrė „Wikimedia“
Rašytojas ir žurnalistas, įsikūręs Pietvakariuose, garantuoja, kad Andre išliks funkcionalus iki 50 laipsnių Celsijaus ir yra atsparus vandeniui iki dvylikos pėdų gylio.