Viimased paar kuud on olnud täis palju ebakindlust, mis on seotud paljude rahvanimetatud probleemidega Rambipalavik, teenitud nimi, kuna enamik leitud probleeme on seotud Androidi libstagefrightiga. Turvafirma Zimperium on avaldanud nn Stagefright 2.0 koos kahe uue probleemiga, mis on seotud mp3- ja mp4-failidega, mida saab manipuleerida teie telefonis pahatahtliku koodi käivitamiseks.
Siin on see, mida me seni teame ja kuidas end kaitsta.
Mis on Stagefright 2.0?
Zimperiumi sõnul võimaldavad paar hiljuti avastatud turvaauku ründajal esitleda Androidi telefoni või tahvelarvuti failiga, mis näeb välja nagu MP3 või MP4, nii et kui OS vaatab selle faili metaandmeid eelvaatesse, võib see fail käivituda pahatahtlik kood. Mees keskel ründe või spetsiaalselt nende vigaste failide edastamiseks loodud veebisaidi korral võidakse see kood käivitada ilma, et kasutaja seda kunagi teaks.
Zimperium väidab, et kinnitas kaugjuhtimise ja juhtis sellele Google'i tähelepanu 15. augustil. Vastuseks määras Google teatatud probleemide paarile CVE-2015-3876 ja CVE-2015-6602 ning asus parandama.
Kas mu telefon või tahvelarvuti on mõjutatud?
Ühel või teisel viisil jah. CVE-2015-6602 viitab haavatavusele libutilsis ja nagu Zimperium oma postituses selle haavatavuse avastamisest teatab, mõjutab see kõiki Android-telefone ja tahvelarvuti, mis ulatub tagasi kuni Android 1.0-ni. CVE-2015-3876 mõjutab iga Android 5.0 või uuema versiooniga telefone või tahvelarvutit ning teoreetiliselt võidakse seda edastada veebisaidi või inimese kaudu rünnak.
KUID.
Praegu pole ühtegi avalikku näidet selle haavatavuse kohta, mida oleks kunagi kasutatud millegi väljaspool laborit ärakasutamiseks tingimustes ja Zimperium ei kavatse jagada kontseptsiooni tõestust, mida nad selle probleemi demonstreerimiseks kasutasid. Google. Kuigi on võimalik, et keegi teine saab selle ärakasutamise selgeks enne, kui Google paiga välja annab, on ebatõenäoline, et selle ärakasutamise üksikasju hoitakse endiselt privaatsena.
Mida Google sellega teeb?
Google'i avalduse kohaselt käsitleb oktoobrikuu turvavärskendus mõlemat turvaauku. Need paigad tehakse AOSP-s ja avaldatakse Nexuse kasutajatele alates 5. oktoobrist. Kotkasilmsed lugejad võisid märgata, et Nexus 5X ja Nexus 6P, mida me hiljuti vaatasime, olid juba 5. oktoobril värskendus on installitud, nii et kui tellisite mõne neist telefonidest ette, saabub teie riistvara nende vastu haavatavused. Lisateavet plaastri kohta leiate aadressilt Androidi turvalisuse Google'i grupp 5. oktoobril.
Mis puudutab mitte-Nexuse telefone, siis Google edastas oktoobrikuu turbevärskenduse partneritele 10. septembril ning on teinud koostööd originaalseadmete tootjate ja operaatoritega, et värskendus võimalikult kiiresti kohale toimetada. Kui vaatate Stagefrighti viimases kasutuses paigatud seadmete loendit, saate mõistliku pildi sellest, millist riistvara selles protsessis prioriteediks peetakse.
Kuidas kaitsta end seni, kuni mu telefoni või tahvelarvuti plaaster saabub?
Juhul, kui keegi tõesti jookseb ringi Stagefright 2.0 ärakasutamisega ja üritab Androidi kasutajaid nakatada, mis on jällegi väga ebatõenäoline Avalike üksikasjade puudumise tõttu on turvalisuse tagamise võti seotud sellega, et pöörate tähelepanu sellele, kus te sirvite ja millega olete ühenduses.
Võimaluse korral vältige avalikke võrke, tuginege võimalusel kahefaktorilisele autentimisele ja hoidke varjulistest veebisaitidest nii kaugele kui võimalik. Enamasti terve mõistuse veebivärk enda turvalisuse tagamiseks.
Kas see on maailma lõpp?
Isegi mitte natuke. Kuigi kõik Stagefrighti haavatavused on tõepoolest tõsised ja neid tuleb sellisena käsitleda, side Zimperiumi ja Google'i vahel, et tagada nende probleemide võimalikult kiire lahendamine olnud fantastiline. Zimperium on õigesti juhtinud tähelepanu Androidi probleemidele ja Google on astunud nende parandamiseks. Täiuslikus maailmas neid haavatavusi ei eksisteeriks, kuid need on olemas ja nendega tegeletakse kiiresti. Arvestades olukorda, milles me oleme, ei saa enamat nõuda.