Pēdējie pāris mēneši ir bijuši piepildīti ar daudzām neskaidrībām saistībā ar virkni problēmu, kas populāri nosauktas Skatuves bailes, nosaukums ir nopelnīts, jo lielākā daļa atrasto problēmu ir saistītas ar libstagefright operētājsistēmā Android. Drošības firma Zimperium ir publicējusi to, ko viņi sauc par Stagefright 2.0, ar divām jaunām problēmām, kas saistītas ar mp3 un mp4 failiem, ar kuriem var manipulēt, lai tālrunī izpildītu ļaunprātīgu kodu.
Lūk, ko mēs līdz šim zinām un kā pasargāt sevi.
Kas ir Stagefright 2.0?
Saskaņā ar Zimperium teikto, pāris nesen atklātu ievainojamību ļauj uzbrucējam uzrādīt Android tālruni vai planšetdatorā ar failu, kas izskatās kā MP3 vai MP4, tādēļ, ja šī faila metadatus priekšskata operētājsistēma, šo failu varētu izpildīt ļaunprātīgs kods. Ja notiek uzbrukums Cilvēks vidū vai vietne, kas īpaši izveidota šo nepareizi veidoto failu piegādei, šis kods var tikt izpildīts, lietotājam to nezinot.
Zimperium apgalvo, ka ir apstiprinājis attālinātu izpildi, un 15. augustā vērsa uz to Google uzmanību. Atbildot uz to, Google piešķīra CVE-2015-3876 un CVE-2015-6602 ziņotajām problēmām un sāka strādāt pie labojuma.
Vai tiek ietekmēts mans tālrunis vai planšetdators?
Tā vai citādi, jā. CVE-2015-6602 attiecas uz ievainojamību Libutils, un, kā Zimperium norāda savā ziņojumā, kurā tiek paziņots par šīs ievainojamības atklāšanu, tas ietekmē katru Android tālruni un planšetdators atgriežas līdz pat Android 1.0. CVE-2015-3876 ietekmē katru Android 5.0 un jaunāku tālruni vai planšetdatoru, un teorētiski to var piegādāt, izmantojot vietni vai starpnieku. uzbrukums.
TOMĒR.
Pašlaik nav publisku piemēru, ka šī ievainojamība jebkad būtu izmantota, lai izmantotu kaut ko ārpus laboratorijas apstākļos, un Zimperium neplāno dalīties ar koncepcijas pierādījuma izmantošanu, ko viņi izmantoja, lai demonstrētu šo problēmu Google. Lai gan ir iespējams, ka kāds cits varētu izdomāt šo ekspluatāciju, pirms Google izdod ielāpu, maz ticams, ka informācija par šo ekspluatāciju joprojām tiek saglabāta privāta.
Ko Google dara šajā sakarā?
Saskaņā ar Google paziņojumu oktobra drošības atjauninājums novērš abas šīs ievainojamības. Šie ielāpi tiks izgatavoti AOSP un tiks izlaisti Nexus lietotājiem no 5. oktobra. Ērgļa acu lasītāji, iespējams, pamanīja Nexus 5X un Nexus 6P, kurus mēs nesen apskatījām, jau bija 5. oktobrī. ir instalēts atjauninājums, tādēļ, ja iepriekš pasūtījāt kādu no šiem tālruņiem, jūsu aparatūra tiks labota pret tiem ievainojamības. Papildu informācija par ielāpu būs atrodama Android drošības Google grupa 5. oktobrī.
Attiecībā uz tālruņiem, kas nav Nexus tālruņi, Google sniedza oktobra drošības atjauninājumu partneriem 10. septembrī un ir sadarbojies ar oriģinālo iekārtu ražotājiem un mobilo sakaru operatoriem, lai atjauninājumu piegādātu pēc iespējas ātrāk. Ja aplūkojat pēdējā Stagefright darbības laikā laboto ierīču sarakstu, jūs iegūstat saprātīgu priekšstatu par to, kāda aparatūra šajā procesā tiek uzskatīta par prioritāti.
Kā nodrošināt drošību, līdz tiek saņemts tālruņa vai planšetdatora ielāps?
Gadījumā, ja kāds patiešām skraida ar Stagefright 2.0 ļaunprātīgu izmantošanu un mēģina inficēt Android lietotājus, kas atkal ir maz ticams. Publiskas informācijas trūkuma dēļ galvenais, lai saglabātu drošību, ir saistīts ar uzmanības pievēršanu pārlūkošanas vietai un savienojumam.
Ja iespējams, izvairieties no publiskiem tīkliem, paļaujieties uz divu faktoru autentifikāciju, kad vien iespējams, un palieciet tik tālu no ēnainām vietnēm, cik vien iespējams. Galvenokārt veselā saprāta tīmekļa lietas, lai aizsargātu sevi.
Vai tas ir pasaules gals?
Pat ne mazums. Lai gan visas Stagefright ievainojamības patiešām ir nopietnas, un tās ir jāizturas kā tādas, saziņa starp Zimperium un Google, lai nodrošinātu, ka šīs problēmas tiek risinātas pēc iespējas ātrāk bija fantastiski. Zimperium pamatoti ir vērsis uzmanību uz problēmām ar Android, un Google ir iesaistījies, lai tās novērstu. Ideālā pasaulē šīs ievainojamības nepastāvētu, taču tās pastāv un tiek ātri novērstas. Ņemot vērā situāciju, kurā atrodamies, nevar prasīt daudz vairāk.