Logo el.androidermagazine.com
Logo el.androidermagazine.com
» Λογισμικό
Λογισμικό

Τι πρέπει να ξέρετε για το stagefright 2.0

Τι πρέπει να ξέρετε για το stagefright 2.0

Πίνακας περιεχομένων:

Anonim

Οι τελευταίοι δύο μήνες έχουν γεμίσει με πολλή αβεβαιότητα γύρω από μια σειρά θεμάτων που ονομάζονται δημοφιλές Stagefright, ένα όνομα που κερδίστηκε επειδή τα περισσότερα από τα προβλήματα που βρέθηκαν έχουν να κάνουν με το libstagefright στο Android. Η εταιρεία ασφάλειας Zimperium δημοσίευσε αυτό που καλούν το Stagefright 2.0, με δύο νέα ζητήματα που αφορούν τα αρχεία mp3 και mp4 που θα μπορούσαν να χρησιμοποιηθούν για την εκτέλεση κακόβουλου κώδικα στο τηλέφωνό σας.

Ακολουθεί αυτό που γνωρίζουμε μέχρι στιγμής και πώς να είστε ασφαλείς.

Τι είναι το Stagefright 2.0;

Σύμφωνα με το Zimperium, ένα ζεύγος πρόσφατα εντοπισμένων τρωτών σημείων καθιστά δυνατό για έναν εισβολέα να παρουσιάσει ένα τηλέφωνο Android ή tablet με ένα αρχείο που μοιάζει με ένα MP3 ή MP4, οπότε όταν τα μεταδεδομένα για το συγκεκριμένο αρχείο προεπισκόπησης από το λειτουργικό σύστημα που μπορεί να εκτελέσει το αρχείο κακόβουλος κώδικας. Σε περίπτωση επίθεσης του ανθρώπου στη Μέση ή ενός ιστότοπου που δημιουργήθηκε ειδικά για την παράδοση αυτών των αρχείων με δυσλειτουργίες, ο κώδικας αυτός θα μπορούσε να εκτελεστεί χωρίς να γνωρίζει ο χρήστης ποτέ.

Το Zimperium ισχυρίζεται ότι επιβεβαίωσε την απομακρυσμένη εκτέλεση και το έφερε στην προσοχή της Google στις 15 Αυγούστου. Σε απάντηση, η Google ανέθεσε στα CVE-2015-3876 και CVE-2015-6602 το ζευγάρι των αναφερθέντων ζητημάτων και άρχισε να εργάζεται σε μια επιδιόρθωση.

Είναι επηρεασμένο το τηλέφωνο ή το tablet μου;

Με τον ένα ή τον άλλο τρόπο, ναι. Το CVE-2015-6602 αναφέρεται σε μια ευπάθεια στις libutils και, όπως επισημαίνει το Zimperium στη δημοσίευσή τους ανακοινώνοντας την ανακάλυψη αυτής της ευπάθειας, έχει επιπτώσεις σε κάθε τηλέφωνο και tablet Android που πηγαίνει πίσω στο Android 1.0. Το CVE-2015-3876 επηρεάζει κάθε τηλέφωνο και tablet με Android 5.0 ή υψηλότερο και θα μπορούσε θεωρητικά να παραδοθεί μέσω ιστότοπου ή ανθρώπου στη μέση επίθεση.

ΩΣΤΟΣΟ.

Προς το παρόν δεν υπάρχουν δημόσια παραδείγματα αυτού του τρωτού που έχουν χρησιμοποιηθεί ποτέ για να εκμεταλλευτούν οτιδήποτε εκτός των εργαστηριακών συνθηκών και το Zimperium δεν σχεδιάζει να μοιραστεί την απόδειξη απόδειξης εκμετάλλευσης που χρησιμοποίησαν για να επιδείξει αυτό το ζήτημα στην Google. Παρόλο που είναι πιθανό κάποιος άλλος να μπορεί να υπολογίσει ότι θα εκμεταλλευτεί αυτό πριν η Google εκδώσει μια ενημερωμένη έκδοση κώδικα, ενώ οι λεπτομέρειες πίσω από αυτήν την εκμετάλλευση εξακολουθούν να παραμένουν ιδιωτικές, είναι απίθανο.

Τι κάνει η Google γι 'αυτό;

Σύμφωνα με μια δήλωση από την Google, η Ενημερωμένη έκδοση ασφαλείας του Οκτωβρίου καλύπτει και αυτές τις ευπάθειες. Αυτά τα μπαλώματα θα γίνουν στο AOSP και θα ξεκινούν από 5 Οκτωβρίου στους χρήστες του Nexus. Οι αναγνώστες Eagle eyed ενδέχεται να έχουν παρατηρήσει τα Nexus 5X και Nexus 6P που εξετάσαμε πρόσφατα ήδη είχαν εγκαταστήσει την ενημέρωση της 5ης Οκτωβρίου, οπότε αν προ-παραγγείλατε ένα από αυτά τα τηλέφωνα, το υλικό σας θα έρθει patched ενάντια σε αυτά τα τρωτά σημεία. Πρόσθετες πληροφορίες για την ενημερωμένη έκδοση κώδικα θα βρίσκονται στο Συλλογή Google Security για Android στις 5 Οκτωβρίου.

Όσον αφορά τα τηλέφωνα που δεν ανήκουν στο Nexus, η Google παρέδωσε την Ενημερωμένη έκδοση ασφαλείας Οκτωβρίου στους συνεργάτες της στις 10 Σεπτεμβρίου και συνεργάστηκε με τους κατασκευαστές εξοπλισμού και τους μεταφορείς για την παράδοση της ενημέρωσης το συντομότερο δυνατό. Εάν ρίξετε μια ματιά στη λίστα των συσκευών που έχουν επικολληθεί στο τελευταίο κατάστημα Stagefright, έχετε μια λογική εικόνα του υλικού που θεωρείται προτεραιότητα σε αυτή τη διαδικασία.

Πώς μπορώ να μείνω ασφαλής μέχρι να φτάσει το έμπλαστρο για το τηλέφωνο ή το tablet μου;

Σε περίπτωση που κάποιος τρέχει πραγματικά με μια εκμετάλλευση Stagefright 2.0 και προσπαθεί να μολύνει χρήστες Android, κάτι που είναι και πάλι εξαιρετικά απίθανο λόγω της έλλειψης δημόσιων λεπτομερειών, το κλειδί για να παραμείνει ασφαλές έχει να κάνει με την προσοχή στον τόπο όπου βρίσκεστε, να κάνετε περιήγηση και σε τι είστε συνδεδεμένοι.

Αποφύγετε τα δημόσια δίκτυα όταν μπορείτε, στηρίξτε τον έλεγχο ταυτότητας δύο παραγόντων όποτε είναι δυνατόν και παραμείνετε τόσο μακριά από τους σκιερούς ιστοτόπους όσο μπορείτε. Κυρίως, πράγματα κοινής λογικής web για να είστε ασφαλείς.

Είναι αυτό το τέλος του κόσμου;

Ακόμα και λίγο. Παρόλο που όλα τα τρωτά σημεία του Stagefright είναι πράγματι σοβαρά και πρέπει να αντιμετωπίζονται ως τέτοια, η επικοινωνία μεταξύ του Zimperium και της Google για να διασφαλιστεί ότι τα ζητήματα αυτά αντιμετωπίζονται το συντομότερο δυνατό είναι φανταστική. Το Zimperium επέστησε σωστά την προσοχή στα προβλήματα με το Android και η Google έχει προχωρήσει για να το διορθώσει. Σε έναν τέλειο κόσμο, αυτά τα τρωτά σημεία δεν θα υπήρχαν, αλλά κάνουν και αντιμετωπίζονται γρήγορα. Δεν μπορούμε να ζητήσουμε κάτι παραπάνω από αυτό, δεδομένης της κατάστασης στην οποία βρισκόμαστε.

Λογισμικό

Η επιλογή των συντακτών