Posledných pár mesiacov bolo naplnených množstvom neistoty v súvislosti s radom problémov, ktoré sú ľudovo pomenované Tréma, názov si vyslúžil, pretože väčšina zistených problémov súvisí s libstagefright v systéme Android. Bezpečnostná firma Zimperium zverejnila to, čo nazývajú Stagefright 2.0, s dvoma novými problémami týkajúcimi sa súborov mp3 a mp4, ktoré by mohli byť manipulované tak, aby sa na vašom telefóne spustili škodlivý kód.
Tu je to, čo zatiaľ vieme, a ako sa zachovať v bezpečí.
Čo je Stagefright 2.0?
Dvojica nedávno objavených zraniteľností podľa Zimperia umožňuje útočníkovi prezentovať telefón s Androidom resp. tablet so súborom, ktorý vyzerá ako MP3 alebo MP4, takže keď operačný systém zobrazí ukážku metadát tohto súboru, tento súbor sa môže spustiť škodlivý kód. V prípade útoku Man in the Middle alebo webovej stránky vytvorenej špeciálne na doručovanie týchto poškodených súborov by sa tento kód mohol spustiť bez toho, aby o tom používateľ vedel.
Zimperium tvrdí, že potvrdilo vykonanie na diaľku, a upozornilo na to spoločnosť Google 15. augusta. V reakcii na to Google priradil CVE-2015-3876 a CVE-2015-6602 k dvojici nahlásených problémov a začal pracovať na oprave.
Je ovplyvnený môj telefón alebo tablet?
Tak či onak áno. CVE-2015-6602 sa týka zraniteľnosti v libutils, a ako Zimperium poukazuje vo svojom príspevku oznamujúcom objavenie tejto zraniteľnosti, má vplyv na každý telefón s Androidom a tablet siahajúci až po Android 1.0. CVE-2015-3876 sa týka každého telefónu alebo tabletu so systémom Android 5.0 a vyšším a teoreticky by sa mohol doručiť prostredníctvom webovej stránky alebo muža uprostred útok.
VŠAK.
V súčasnosti neexistujú žiadne verejné príklady toho, že by táto zraniteľnosť bola niekedy použitá na zneužitie čohokoľvek mimo laboratória podmienok a Zimperium neplánuje zdieľať proof-of-concept exploit, ktorým tento problém demonštrovali Google. Aj keď je možné, že niekto iný by mohol prísť na toto zneužitie skôr, než Google vydá opravu, je nepravdepodobné, že podrobnosti tohto zneužitia sú stále súkromné.
Čo s tým Google robí?
Októbrová bezpečnostná aktualizácia podľa vyjadrenia spoločnosti Google rieši obe tieto zraniteľnosti. Tieto opravy budú vytvorené v AOSP a budú dostupné pre používateľov zariadení Nexus od 5. októbra. Čitatelia s orlími očami si mohli všimnúť, že Nexus 5X a Nexus 6P, na ktoré sme sa nedávno pozerali, už mali 5. októbra nainštalovaná aktualizácia, takže ak ste si predobjednali jeden z týchto telefónov, váš hardvér vám príde opravený zraniteľnosti. Ďalšie informácie o oprave budú v Android Security Group Google dňa 5. októbra.
Čo sa týka telefónov iných značiek, ako Nexus, Google poskytol partnerom októbrovú bezpečnostnú aktualizáciu 10. septembra a spolupracuje s výrobcami OEM a operátormi na dodaní aktualizácie čo najskôr. Ak sa pozriete na zoznam zariadení opravených v poslednom exploite Stagefright, máte primeraný obraz o tom, aký hardvér sa v tomto procese považuje za prioritu.
Ako zostanem v bezpečí, kým sa oprava nedostane do môjho telefónu alebo tabletu?
V prípade, že niekto skutočne pobehuje s exploitom Stagefright 2.0 a pokúša sa infikovať používateľov systému Android, čo je opäť veľmi nepravdepodobné Vzhľadom na nedostatok verejných podrobností má kľúč k zabezpečeniu všetko spoločné s tým, že budete venovať pozornosť tomu, kde prehliadate a s čím ste pripojení.
Vyhýbajte sa verejným sieťam, keď je to možné, spoliehajte sa na dvojfaktorové overenie vždy, keď je to možné, a držte sa čo najďalej od tienistých webových stránok. Väčšinou ide o webové veci so zdravým rozumom, aby ste sa udržali v bezpečí.
Je toto koniec sveta?
Ani trochu. Zatiaľ čo všetky zraniteľnosti Stagefright sú skutočne vážne a treba s nimi tak aj zaobchádzať, komunikácia medzi Zimperium a Google s cieľom zabezpečiť, aby sa tieto problémy vyriešili čo najrýchlejšie bol fantastický. Zimperium oprávnene upozornilo na problémy s Androidom a Google zakročil, aby ich vyriešil. V dokonalom svete by tieto zraniteľnosti neexistovali, ale existujú a rýchlo sa riešia. Vzhľadom na situáciu, v ktorej sa nachádzame, nemôžeme žiadať viac.