Похоже, Stagefright снова наносит удар.
Ошибка безопасности, которая была обнаружена на телефонах с версиями ОС Android между 2.2 и 4, теперь обнаружила атаки на устройства под управлением Android 5.0 и выше.
Джошуа Дж. Дрейк, вице-президент Zimperium zLabs по исследованиям, обнаружил еще одну проблему безопасности в Android под названием Stagefright 2.0. Дрейк утверждает, что при обработке специально созданных аудиофайлов MP3 и видеофайлов MP4 могут возникнуть две уязвимости.
$config[code] not foundВидимо, в файлах MP3 и MP4 есть функция, которая позволяет выполнять удаленное выполнение кода (RCE). Это в основном означает, что зараженные файлы MP3 и MP4 могут дать кому-то доступ для запуска задачи на вашем телефоне Android. Даже простой предварительный просмотр вредоносной песни или видео может поставить ваш телефон под угрозу.
Дрейк говорит в своем блоге, что наиболее уязвимый подход к телефону Android - через веб-браузер, когда хакер может воспользоваться ошибкой безопасности тремя различными способами.
Во-первых, злоумышленник может попытаться заставить пользователя Android посетить URL-адрес, который действительно приведет к созданию сайта, контролируемого злоумышленником. Это можно сделать, например, в форме рекламной кампании. После приманки жертва будет заражена зараженным файлом MP3 или MP4.
В том же духе злоумышленник может использовать стороннее приложение, такое как медиаплеер. В этом случае это приложение, которое будет содержать один из этих вредоносных файлов.
Но есть и третья возможность, когда хакер может пойти другим путем.
Скажем, хакер и пользователь Android используют один и тот же WiFi. Тогда хакеру не нужно будет обманывать пользователя, чтобы он зашел по URL-адресу или открыл стороннее приложение. Вместо этого все, что им нужно было бы сделать, это внедрить эксплойт в незашифрованный сетевой трафик пользователя, используемый браузером.
Оригинальная ошибка Stagefright, которая была обнаружена Дрейком ранее в этом году, открыла телефоны Android уязвимости через текстовые сообщения, содержащие вредоносные программы.
Если хакер знает ваш номер телефона, можно отправить текстовое сообщение, содержащее вредоносный мультимедийный файл. Затем текст может предоставить хакеру доступ к данным и фотографиям пользователя или даже предоставить доступ к таким функциям, как камера телефона или микрофон.
Пользователи могут пострадать и даже не знать об этом.
Патч был выпущен для оригинальной ошибки Stagefright вскоре после обнаружения уязвимости.Однако с патчем было несколько проблем. В некоторых отчетах указано, что исправление может вызвать сбой телефона в некоторых случаях при открытии мультимедийного сообщения.
Дрейк говорит, что он уведомил Android об угрозе и заявил, что Android быстро перешел к исправлению, хотя им еще предстоит предоставить номер CVE для отслеживания этой последней проблемы. Google включает исправление Stagefright в бюллетене по безопасности Nexus, который выйдет на этой неделе.
Если вы не уверены, что ваше устройство Android уязвимо, вы можете загрузить приложение Zimperium Inc. Stagefright Detector, чтобы проверить наличие уязвимостей.
Android Lollipop Фото через Shutterstock
Ещё в: Google 2 Комментария ▼
