Последние пару месяцев были наполнены большой неопределенностью, связанной с серией проблем, широко называемых Боязнь сцены, название, заработанное потому, что большинство обнаруженных проблем связаны с libstagefright в Android. Охранная фирма Zimperium опубликовала то, что они называют Stagefright 2.0, с двумя новыми проблемами, связанными с файлами mp3 и mp4, которыми можно манипулировать для выполнения вредоносного кода на вашем телефоне.
Вот что мы знаем на данный момент и как обезопасить себя.
Что такое Stagefright 2.0?
Согласно Zimperium, пара недавно обнаруженных уязвимостей позволяет злоумышленнику предъявить телефон Android или планшет с файлом, который выглядит как MP3 или MP4, поэтому, когда метаданные для этого файла предварительно просматриваются ОС, этот файл может выполняться вредоносный код. В случае атаки «Человек посередине» или веб-сайта, созданного специально для доставки этих искаженных файлов, этот код может быть выполнен без ведома пользователя.
Zimperium утверждает, что подтвердил удаленное выполнение, и сообщил об этом Google 15 августа. В ответ Google присвоил CVE-2015-3876 и CVE-2015-6602 пару обнаруженных проблем и начал работу над исправлением.
Пострадает ли мой телефон или планшет?
Так или иначе, да. CVE-2015-6602 относится к уязвимости в libutils, и, как указывает Zimperium в своем сообщении, объявляющем об обнаружении этой уязвимости, она затрагивает все телефоны Android и планшет восходит к Android 1.0. CVE-2015-3876 затрагивает каждый телефон или планшет с Android 5.0 и выше и теоретически может быть доставлен через веб-сайт или через посредника. атака.
ОДНАКО.
В настоящее время нет общедоступных примеров использования этой уязвимости для эксплуатации чего-либо за пределами лаборатории. условиях, и Zimperium не планирует делиться экспериментальным эксплойтом, который они использовали для демонстрации этой проблемы другим пользователям. Google. Хотя возможно, что кто-то еще сможет понять этот эксплойт до того, как Google выпустит патч, подробности этого эксплойта все еще держатся в секрете, что маловероятно.
Что Google делает по этому поводу?
Согласно заявлению Google, октябрьское обновление безопасности устраняет обе эти уязвимости. Эти исправления будут созданы в AOSP и станут доступны для пользователей Nexus начиная с 5 октября. Читатели с орлиным взглядом могли заметить, что Nexus 5X и Nexus 6P, на которые мы недавно смотрели, уже имели номер 5 октября. установлено обновление, поэтому, если вы предварительно заказали один из этих телефонов, ваше оборудование будет исправлено против этих уязвимости. Дополнительная информация о патче будет в Группа Google по безопасности Android 5 октября.
Что касается телефонов, отличных от Nexus, Google предоставила партнерам октябрьское обновление безопасности 10 сентября и работает с OEM-производителями и операторами связи, чтобы доставить обновление как можно скорее. Если вы взглянете на список устройств, исправленных последним эксплойтом Stagefright, у вас будет разумное представление о том, какое оборудование считается приоритетным в этом процессе.
Как мне оставаться в безопасности, пока не появится патч для моего телефона или планшета?
В случае, если кто-то действительно использует эксплойт Stagefright 2.0 и пытается заразить пользователей Android, что опять же маловероятно из-за из-за отсутствия общедоступных подробностей ключ к безопасности заключается в том, чтобы обращать внимание на то, где вы просматриваете и к чему подключены.
По возможности избегайте общедоступных сетей, по возможности полагайтесь на двухфакторную аутентификацию и держитесь как можно дальше от подозрительных веб-сайтов. В основном, веб-приложения здравого смысла для обеспечения собственной безопасности.
Это конец света?
Даже не немного. Хотя все уязвимости Stagefright действительно серьезны и должны рассматриваться как таковые, связь между Zimperium и Google для скорейшего решения этих проблем был фантастическим. Компания Zimperium справедливо привлекла внимание к проблемам с Android, и Google вмешался, чтобы их исправить. В идеальном мире этих уязвимостей не было бы, но они есть и быстро устраняются. Не могу просить большего, учитывая ситуацию, в которой мы находимся.