Последните няколко месеца бяха изпълнени с много несигурност около поредица от проблеми, които са популярни Сценична треска, заслужено име, защото повечето от откритите проблеми са свързани с libstagefright в Android. Фирмата за сигурност Zimperium публикува това, което наричат Stagefright 2.0, с два нови проблема около mp3 и mp4 файлове, които могат да бъдат манипулирани, за да изпълнят зловреден код на вашия телефон.
Ето какво знаем досега и как да се предпазите.
Какво е Stagefright 2.0?
Според Zimperium, двойка наскоро открити уязвимости позволяват на атакуващ да представи телефон с Android или таблет с файл, който изглежда като MP3 или MP4, така че когато метаданните за този файл се визуализират от операционната система, този файл може да се изпълни зловреден код. В случай на атака на Man in the Middle или уебсайт, създаден специално за доставяне на тези деформирани файлове, този код може да бъде изпълнен, без потребителят изобщо да разбере.
Zimperium твърди, че е потвърдил дистанционното изпълнение и е обърнал внимание на Google на 15 август. В отговор Google присвои CVE-2015-3876 и CVE-2015-6602 на двойката докладвани проблеми и започна работа по корекция.
Моят телефон или таблет засегнат ли е?
По един или друг начин, да. CVE-2015-6602 се отнася до уязвимост в libutils и както Zimperium посочва в публикацията си, обявявайки откриването на тази уязвимост, тя засяга всеки телефон с Android и таблет, връщащ се назад до Android 1.0. CVE-2015-3876 засяга всеки телефон или таблет с Android 5.0 и по-нова версия и теоретично може да бъде доставен чрез уебсайт или човек по средата атака.
ВЪПРЕКИ ТОВА.
Понастоящем няма публични примери за това, че тази уязвимост някога е била използвана за използване на нещо извън лабораторията условия и Zimperium не планира да споделя експлойта за доказателство на концепцията, който са използвали, за да демонстрират този проблем на Google. Въпреки че е възможно някой друг да разбере този експлойт, преди Google да издаде корекция, като подробностите зад този експлойт все още се пазят в тайна, това е малко вероятно.
Какво прави Google по въпроса?
Според изявление на Google, октомврийската актуализация на сигурността адресира и двете уязвимости. Тези корекции ще бъдат направени в AOSP и ще бъдат пуснати на потребителите на Nexus от 5 октомври. Читателите с орлови очи може би са забелязали, че Nexus 5X и Nexus 6P, които разгледахме наскоро, вече имаха 5 октомври инсталирана актуализация, така че ако сте поръчали предварително един от тези телефони, вашият хардуер ще пристигне с корекция спрямо тях уязвимости. Допълнителна информация за корекцията ще бъде в Google група за сигурност на Android на 5 октомври.
Що се отнася до телефоните, различни от Nexus, Google предостави октомврийската актуализация за сигурност на партньорите на 10 септември и работи с OEM производители и оператори, за да достави актуализацията възможно най-скоро. Ако погледнете списъка с устройства, закрепени в последния експлойт на Stagefright, имате разумна представа за това какъв хардуер се счита за приоритет в този процес.
Как да остана в безопасност, докато пристигне корекцията за моя телефон или таблет?
В случай, че някой наистина тича наоколо с експлойт на Stagefright 2.0 и се опитва да зарази потребителите на Android, което отново е много малко вероятно поради поради липсата на публични подробности, ключът към безопасността е всичко свързано с обръщането на внимание къде сърфирате и с какво сте свързани.
Избягвайте обществените мрежи, когато можете, разчитайте на двуфакторно удостоверяване, когато е възможно, и стойте възможно най-далеч от сенчести уебсайтове. Най-вече здрав разум в мрежата, за да се предпазите.
Това ли е краят на света?
Нито малко. Докато всички уязвимости на Stagefright са наистина сериозни и трябва да се третират като такива, комуникация между Zimperium и Google, за да се гарантира, че тези проблеми са разрешени възможно най-бързо беше фантастично. Zimperium правилно обърна внимание на проблемите с Android и Google се намеси, за да ги коригира. В един перфектен свят тези уязвимости не биха съществували, но те съществуват и бързо се отстраняват. Не можем да искаме много повече от това предвид ситуацията, в която се намираме.