Reklāma
Jauna Android ievainojamība uztrauc drošības pasauli - un tas jūsu Android tālruni padara īpaši neaizsargātu. Šis jautājums nāk sešu kļūdu veidā nekaitīgā Android modulī ar nosaukumu StageFright, kas tiek izmantots multivides atskaņošanai.
StageFright kļūdas ļauj ļaunprātīgai multiziņai, kuru sūta hakeris, izpildīt ļaunprātīgu kodu StageFright modulī. Turpmāk kodam ir vairākas iespējas, kā iegūt ierīces kontroli. Šobrīd kaut kas līdzīgs 950 miljoniem ierīču ir neaizsargāts pret šo izmantošanu.
Vienkārši sakot, vēsturē ir vissliktākā Android ievainojamība.
Klusa pārņemšana
Android lietotāji jau pamatīgi uztraucas par pārkāpumu. Ātra Twitter skenēšana parāda, ka daudzi nepatīkami lietotāji uznirst, kad ziņas izplatās tīmeklī.
Atbilstoši tam, ko dzirdu, pat Nexus ierīcēm nav piešķirts plāksteris #Stagefright. Vai ir kāds tālrunis? http://t.co/bnNRW75TrD
- Tomass Brewsters (@iblametom) 2015. gada 27. jūlijs
Daļa no šī uzbrukuma ir tik drausmīga, ka maz ir to, ko lietotāji var darīt, lai sevi pasargātu no tā. Iespējams, ka viņi pat nezināt, ka uzbrukums ir noticis.
Parasti, lai uzbruktu Android ierīcei, jums jāiegūst lietotājam instalēt ļaunprātīgu lietotni. Šis uzbrukums ir atšķirīgs: uzbrucējam vienkārši jāzina jūsu tālruņa numurs un jānosūta ļaunprātīga multiziņa.
Atkarībā no tā, kuru ziņapmaiņas lietotni izmantojat, iespējams, pat nezināt, ka ziņojums ir saņemts. Piemēram: ja jūsu MMS ziņas tiek cauri Andoid Google Hangouts Kā lietot Google Hangouts savā Android ierīcēGoogle+ Hangouts ir Google atbilde uz tērzēšanas istabām. Izmantojot video, audio un teksta tērzēšanu, kā arī vairākas izvēles lietotnes, jūs varat piedalīties Hangout sesijā līdz 12 cilvēkiem. Hangout sesija ir pieejama jūsu Android ierīcē ... Lasīt vairāk , ļaunprātīgais ziņojums spēs pārņemt kontroli un paslēpties, pirms sistēma pat brīdināja lietotāju, ka tas ir ieradies. Citos gadījumos ļaunprātīga izmantošana varētu netikt uzsākta, kamēr ziņa nav faktiski apskatīta, bet vairums lietotāju to vienkārši noraksta kā nekaitīgu surogātpastu teksts Identificējiet nezināmus numurus un bloķējiet surogātpastu īsziņas, izmantojot Truemessenger AndroidTruemessenger ir fantastiski jauna lietotne īsziņu sūtīšanai un saņemšanai, un tā var pateikt, kurš ir nezināms numurs, un bloķēt surogātpastu. Lasīt vairāk vai nepareizs numurs.
Iekļūstot sistēmā, StageFright darbinātajam kodam automātiski ir piekļuve kamerai un mikrofonam, kā arī bluetooth perifērijas ierīcēm un visiem SD kartē saglabātajiem datiem. Tas ir pietiekami slikti, bet (diemžēl) tas ir tikai sākums.
Kamēr Android Lollipop ievieš vairāki drošības uzlabojumi 8 veidi, kā jaunināt uz Android Lollipop, padara jūsu tālruni drošākuMūsu viedtālruņos ir daudz sensitīvas informācijas, tāpēc kā mēs varam sevi uzturēt drošībā? Izmantojot Android Lollipop, kas drošības arēnā ir iespiests liels perforators, piedāvājot funkcijas, kas uzlabo drošību visā pasaulē. Lasīt vairāk , lielākā daļa Android ierīču ir joprojām darbojas vecākas OS versijas Īss ceļvedis Android versijām un atjauninājumiem [Android]Ja kāds saka, ka darbojas operētājsistēma Android, viņš nesaka tik daudz, kā jūs domājat. Atšķirībā no lielākajām datoru operētājsistēmām, Android ir plaša OS, kas aptver daudzas versijas un platformas. Ja vēlaties ... Lasīt vairāk , un ir neaizsargāti pret kaut ko, ko sauc par “privilēģiju saasināšanās uzbrukumu”. Parasti Android lietotnes ir “smilšu kastē Kas ir smilšu kaste, un kāpēc jums vajadzētu spēlēt vienāProgrammas ar augstu saderību var dot daudz, taču tās ir arī atklāts uzaicinājums streikot sliktiem hakeriem. Lai streiki nekļūtu par veiksmīgiem, izstrādātājam būs jāatrod un jāaizver katrs caurums ... Lasīt vairāk ”, Ļaujot viņiem piekļūt tikai tiem OS aspektiem, kuru lietošanai viņiem ir piešķirta skaidra atļauja. Privilēģiju saasināšanās uzbrukumi ļauj ļaunprātīgam kodam “pievilināt” Android operētājsistēmu, piešķirot tai arvien lielāku piekļuvi ierīcei.
Kad ļaunprātīgā multiziņa ir pārņēmusi StageFright kontroli, tā varētu izmantot šos uzbrukumus, lai pilnībā kontrolētu vecākas, nedrošās Android ierīces. Šis ir murgs par ierīces drošību. Vienīgās ierīces, kas ir pilnīgi neaizsargātas pret šo problēmu, ir tās, kurās darbojas operētājsistēmas, kas vecākas par Android 2.2 (Froyo), kas ir versija, kas vispirms ieviesa StageFright.
Lēna reakcija
StageFright ievainojamību sākotnēji atklāja aprīlī Zimperium zLabs, drošības pētnieku grupa. Pētnieki ziņoja par šo problēmu uzņēmumam Google. Google ātri izlaida plāksteri ražotājiem - tomēr ļoti nedaudzi ierīču ražotāji faktiski ir iespieduši plāksteri savās ierīcēs. Pētnieks, kurš atklāja kļūdu, Džošua Dreiks uzskata, ka apmēram 950 miljoni no aptuveni viena miljarda apgrozībā esošo android ierīču ir neaizsargātas pret kaut kādu uzbrukuma veidu.
Yay! @BlackHatEvents žēlīgi pieņēma manu iesniegumu, lai runātu par manu pētījumu par @Android's StageFright! https://t.co/9BW4z6Afmg
- Džošua Dž. Dreiks (@jduck) 2015. gada 20. maijs
Saskaņā ar Dreika teikto, Google pašas ierīces, piemēram, Nexus 6, ir daļēji izlabotas, kaut arī dažas ievainojamības joprojām pastāv. E-pastā FORBES par šo tēmu Google pārliecināja lietotājus, ka
“Lielākajai daļai Android ierīču, ieskaitot visas jaunākās ierīces, ir vairākas tehnoloģijas, kas ir paredzētas, lai to izmantošanu padarītu grūtāku. Android ierīcēs ir arī lietojumprogrammu smilšu kaste, kas paredzēta lietotāju datu un citu ierīcē esošo ierīču aizsardzībai, ”
Tomēr tas nav daudz ērtības. Līdz Android Jellybean 12 populārākie Jelly Bean padomi jaunai Google planšetdatora pieredzeiAndroid Jelly Bean 4.2, kas sākotnēji tika piegādāts uz Nexus 7, nodrošina lielisku jaunu planšetdatoru pieredzi, kas pārspēj iepriekšējās Android versijas. Tas pat pārsteidza mūsu pastāvīgo Apple fanu. Ja jums ir Nexus 7, ... Lasīt vairāk , Android smilšu kaste ir bijusi samērā vāja, un ir zināmi vairāki veidi, kā to izmantot. Ir ļoti svarīgi, lai ražotāji izstrādātu pareizu labojumu šai problēmai.
Ko tu vari izdarīt?
Diemžēl aparatūras izgatavotāji var ļoti lēni ieviest šāda veida kritiskos drošības ielāpus. Noteikti ir vērts sazināties ar ierīces ražotāja klientu atbalsta nodaļu un lūgt aprēķinu par to, kad būs pieejami plāksteri. Sabiedrības spiediens, iespējams, palīdzēs paātrināt lietas.
No Drake puses viņš plāno atklāt visus atklājumus DEFCON - starptautiskā drošības konferencē, kas notiek augusta sākumā. Cerams, ka pievienotā publicitāte mudinās ierīču ražotājus ātri atbrīvot atjauninājumus, tagad, kad uzbrukums ir vispārzināms.
Plašāk sakot, tas ir labs piemērs, kāpēc Android sadrumstalotība ir tik drošs murgs.
Atkal tā ir katastrofa #Android atjauninājumi ir aparatūras ražotāju rokās. Vajadzētu nopietni kaitēt Android. #Stagefright
- Maiks? (@mipesom) 2015. gada 27. jūlijs
Bloķētā ekosistēmā, piemēram, iOS, to var izlaist dažu stundu laikā. Operētājsistēmas Android ierīcēs var paiet mēneši vai gadi, lai katru ierīci sakārtotu, ņemot vērā milzīgo sadrumstalotību. Man ir interese uzzināt, kādus risinājumus Google piedāvā nākamajos gados, lai sāktu šos drošībai svarīgos atjauninājumus piegādāt no ierīču izgatavotāju rokām.
Vai jūs esat Android lietotājs, kuru ietekmē šī problēma? Vai uztraucaties par jūsu privātumu? Paziņojiet mums savas domas komentāros!
Attēla kredīts: Aizmugurgaismota tastatūra Autors: Wikimedia
Rakstnieks un žurnālists, kas atrodas dienvidrietumos, Andre ir garantēts, ka tas joprojām darbosies līdz 50 grādiem pēc Celsija un ir ūdensizturīgs līdz divpadsmit pēdu dziļumam.