Julija 2015 je varnostno podjetje Zimperium sporočilo, da je v operacijskem sistemu Android odkrilo "samoroga" ranljivosti. Več podrobnosti je bilo javno razkritih na konferenci BlackHat v začetku avgusta - vendar ne pred naslovi izjavlja, da bi lahko skoraj milijardo naprav Android prevzeli brez njihovih uporabnikov vedoč.
Kaj je torej "Stagefright"? In ali vas mora to skrbeti?
To objavo nenehno posodabljamo, ko objavljamo več informacij. Tukaj vemo in kaj morate vedeti.
Kaj je Stagefright?
"Stagefright" je vzdevek potencialnega podviga, ki živi precej globoko v samem operacijskem sistemu Android. Bistvo je v tem, da bi lahko video, poslan prek MMS (besedilno sporočilo), teoretično uporabili kot način napada prek libStageFright mehanizem (s tem ime "Stagefright"), ki Androidu pomaga pri obdelavi video datotek. Številne aplikacije za pošiljanje besedilnih sporočil - posebej je bila omenjena Googlova aplikacija Hangouts - samodejno obdelajo ta video, tako da je pripravljen za ogled takoj, ko odprete sporočilo in tako se napad teoretično lahko zgodi, ne da bi sploh vedeli to.
Verizon ponuja Pixel 4a za samo 10 USD mesečno na novih linijah Unlimited
Ker libStageFright sega v Android 2.2, na stotine milijonov telefonov vsebuje to napačno knjižnico.
Avg. 17-18: Podvigi ostajajo?
Ko je Google začel objavljati posodobitve za svojo linijo Nexus, podjetje Exodus objavil objavo v blogu hudomušno rekel, da je vsaj en izkoriščanje ostal nekrpan, kar pomeni, da je Google zapravil kodo. Britanska publikacija Register, v flounly napisan kos, citira inženir iz Rapid7, ki pravi, da bo naslednji popravek prišel v septembrski varnostni posodobitvi - delu novega mesečnega postopka popravljanja varnosti.
Google še ni javno obravnaval te zadnje trditve.
Ker o tem ni nobenih dodatnih podrobnosti, smo nagnjeni k temu, da smo v slabšem spet tam, kjer smo začeli - da obstajajo pomanjkljivosti v libStageFight, vendar obstajajo še druge ravni varnosti, ki bi morale ublažiti možnost, da naprave dejansko izkoriščali.
Enega avg. 18. Trend Micro objavil objavo v blogu o drugi napaki v libStageFright. Reklo je, da nima dokazov o tem, da se ta podvig dejansko uporablja, in da Google objavil popravek za Android Open Source Project avgusta 1.
Nove podrobnosti o Stagefrightu od avgusta 5
V povezavi s konferenco BlackHat v Las Vegasu, na kateri je bilo objavljenih več podrobnosti o ranljivosti Stagefright javno razkrito - Google je situacijo posebej obravnaval z vodilnim inženirjem za varnost Android Adrianom Ludwigom povedno NPR da "ima trenutno 90 odstotkov naprav Android tehnologijo, imenovano ASLR, ki ščiti uporabnike pred težavo."
To je zelo v nasprotju z vrstico "900 milijonov naprav Android so ranljive", ki smo jo vsi prebrali. Čeprav ne bomo vstopili v besedno in pedantno vojno zaradi številk, je Ludwig rekel, da naprave s sistemom Android 4.0 ali novejšim - to je približno 95 odstotkov vseh aktivnih naprav z Googlovimi storitvami - imeti vgrajeno zaščito pred napadom prelivanja medpomnilnika.
ASLR (Address Stempo Layout Randomization) je metoda, ki napadalcu prepreči zanesljivo iskanje funkcije, ki jo želi poskusiti izkoristiti z naključno razporeditvijo pomnilniških naslovnih prostorov procesa. ASLR je v privzetem jedru Linuxa omogočen od junija 2005 in je bil Androidu dodan z različico 4.0 (Sladoledni sendvič).
Kako to za zalogaje?
To pomeni, da ključna področja programa ali storitve, ki se izvaja, niso vedno postavljena na isto mesto v RAM-u. Če naključno vstavimo stvari v pomnilnik, mora vsak napadalec uganiti, kje najti podatke, ki jih želi izkoristiti.
To ni popoln popravek in čeprav je splošni zaščitni mehanizem dober, še vedno potrebujemo neposredne popravke proti znanim podvigom, ko se pojavijo. Google, Samsung (1), (2) in Alcatel so napovedali neposreden popravek za umetniško sceno, Sony, HTC in LG pa sporočajo, da bodo posodobitve objavili avgusta.
Kdo je našel ta podvig?
Izkoriščanje je 21. julija napovedalo podjetje za zaščito mobilnih telefonov Zimperium v okviru napovedi za svojo letno zabavo na konferenci BlackHat. Da, prav ste prebrali. Ta "mati vseh ranljivosti Androida", kot pravi Zimperium, je bila napovedal 21. julij (teden dni, preden se je očitno kdo odločil), in le nekaj besed še večja bomba "Zvečer 6. avgusta bo Zimperij zamajal Vegaska prizorna zabava! "In veste, da bo to divjanje, ker je to" naša vsakoletna zabava v Vegasu za naše najljubše nindže ", popolnoma z neverjetnim hashtagom in vse.
Kako razširjen je ta podvig?
Spet število naprav z napako v libStageFright sama knjižnica je precej velika, ker je v samem OS. A kot že večkrat ugotavlja Google, obstajajo tudi druge metode, ki bi morale zaščititi vašo napravo. Mislite na to kot na varnost v plasteh.
Torej, naj me skrbi Stagefright ali ne?
Dobra novica je, da raziskovalec, ki je to pomanjkljivost odkril v programu Stagefright, "ne verjame, da so hekerji v naravi izkoriščanje. "Zelo slabo je, kar očitno nihče ne uporablja proti nikomur, vsaj tako meni ta oseba. In spet Google pravi, da če uporabljate Android 4.0 ali novejšo različico, boste verjetno v redu.
To ne pomeni, da to ni slab potencial. Je. Poleg tega poudarja težave pri pridobivanju posodobitev, ki jih potisne ekosistem proizvajalca in prevoznika. Po drugi strani pa gre za potencialno pot za izkoriščanje, ki očitno obstaja že od Androida 2.2 - ali v bistvu zadnjih petih let. Zaradi tega bodite tiktakajoča bomba ali pa benigna cista, odvisno od vašega stališča.
Google pa je julija znova poudaril Android Central da obstaja več mehanizmov za zaščito uporabnikov.
Joshua Drake se zahvaljujemo za njegov prispevek. Varnost uporabnikov Androida je za nas izredno pomembna, zato smo se hitro odzvali in partnerji so že dobili popravke, ki jih je mogoče uporabiti na kateri koli napravi.
Večina naprav Android, vključno z vsemi novejšimi napravami, ima več tehnologij, katerih namen je otežiti izkoriščanje. Naprave Android vključujejo tudi aplikacijski peskovnik, namenjen zaščiti uporabniških podatkov in drugih aplikacij v napravi.
Kaj pa posodobitve za popravilo Stagefright?
Potrebovali bomo posodobitve sistema, da bomo to resnično popravili. V svojem novem "Varnostna skupina za Android" v avgustu 12 bilten, Google izdal "Nexusov varnostni bilten" podrobno opisuje stvari od konca. Obstajajo podrobnosti o več CVE-jih (skupne ranljivosti in izpostavljenosti), vključno s tem, kdaj so bili partnerji obveščeni (že 10. aprila za one), ki gradijo popravke s sistemom Android (Android 5.1.1, build LMY48I) in vse druge olajševalne dejavnike (prej omenjeni pomnilnik ASLR shema).
Google je tudi dejal, da je posodobil svoje aplikacije Hangouts in Messenger, tako da se ne samodejno obdelaj video sporočila v ozadju ", tako da se mediji samodejno ne prenesejo na medijski strežnik proces. "
Slaba novica je, da večina ljudi čaka na proizvajalce in prevoznike, da iztisnejo sistemske posodobitve. Ampak, spet - medtem ko se pogovarjamo o približno 900 milijonih ranljivih telefonov, se tudi pogovarjamo nič znani primeri izkoriščanja. To so precej dobre verjetnosti.
HTC je dejal, da bodo posodobitve od tu naprej vsebovale popravek. In CyanogenMod jih vključuje tudi zdaj.
Motorola pravi, da so vsi njeni telefoni sedanje generacije - od Moto E do najnovejšega Moto X (in vsega vmes) bo popravljen, ki kodira prevoznike od 10. avgusta.
Dne avgusta 5, Google je izdal nove sistemske slike za Nexus 4, Nexus 5, Nexus 6, Nexus 7, Nexus 9 in Nexus 10. Google je tudi napovedal, da bo izdal mesečne varnostne posodobitve za linijo Nexus za linijo Nexus. (Drugi javno objavljen M Predogled Zdi se, da je tudi gradnja že popravljena.)
In čeprav izraba Stagefright ni poimenoval poimensko, Googlov Adrian Ludwig prej v storitvi Google+ že obravnaval podvige in varnost na splošno, ponovno nas spomni na več plasti, ki ščitijo uporabnike. On piše:
Obstaja pogosta napačna predpostavka, da je vsako napako v programski opremi mogoče spremeniti v izkoriščanje varnosti. Pravzaprav večina napak ni mogoče izkoristiti in Android je veliko naredil, da bi izboljšal te možnosti. Zadnja 4 leta smo veliko vlagali v tehnologije, osredotočene na eno vrsto napak - napake v pomnilniku - in poskušali te napake težje izkoristiti.
Za več o tem, kako to deluje, preberite našo Vprašanja o varnosti pri Googlovem Ludwigu.
Aplikacije detektorja Stagefight
V resnici ne vidimo smisla v uporabi aplikacije "detektor", da bi ugotovili, ali je vaš telefon ranljiv za izkoriščanje Stagefright. Če pa morate, jih je na voljo nekaj.
- Razgledni mobilni detektor scenskih strahov
- Zimperij detektor strašnih strahov
Ste že poslušali Android Central Podcast tega tedna?
Vsak teden vam Android Central Podcast prinaša najnovejše tehnološke novice, analize in vroče posnetke z znanimi sovoditelji in posebnimi gosti.
- Naročite se na žepne zasedbe: Zvok
- Naročite se na Spotify: Zvok
- Naročite se na iTunes: Zvok
Za nakup lahko z našimi povezavami zaslužimo provizijo. Nauči se več.
To so najboljše brezžične slušalke, ki jih lahko kupite za vsako ceno!
Najboljše brezžične ušesne slušalke so udobne, odlično se slišijo, ne stanejo preveč in jih enostavno spravite v žep.
Vse, kar morate vedeti o PS5: datum izdaje, cena in še več.
Sony je uradno potrdil, da dela na PlayStation 5. Tukaj je vse, kar vemo o tem doslej.
Nokia je predstavila dva nova proračunska telefona Android One, mlajša od 200 USD.
Nokia 2.4 in Nokia 3.4 sta zadnji dodatek k proračunski liniji pametnih telefonov HMD Global. Ker sta obe napravi Android One, bosta zagotovo prejeli dve glavni posodobitvi OS in redne varnostne posodobitve do treh let.
To so najboljši pasovi za Fitbit Sense in Versa 3.
Skupaj z izdajo Fitbit Sense in Versa 3 je podjetje predstavilo tudi nove neskončne pasove. Izbrali smo najboljše, da vam olajšajo stvari.