De senaste månaderna har varit fyllda av mycket osäkerhet kring en rad frågor som kallas populärt Scenskräck, ett namn förtjänat eftersom de flesta problem som hittas har att göra med libstagefright i Android. Säkerhetsföretaget Zimperium har publicerat vad de kallar Stagefright 2.0, med två nya problem kring mp3- och mp4-filer som kan manipuleras för att exekvera skadlig kod på din telefon.
Här är vad vi vet hittills och hur du kan skydda dig själv.
Vad är Stagefright 2.0?
Enligt Zimperium gör ett par nyligen upptäckta sårbarheter det möjligt för en angripare att presentera en Android-telefon eller surfplatta med en fil som ser ut som en MP3 eller MP4, så när metadata för den filen förhandsgranskas av operativsystemet kan den filen köras skadlig kod. I händelse av en Man in the Middle-attack eller en webbplats byggd specifikt för att leverera dessa missbildade filer, kan denna kod köras utan att användaren någonsin vet.
Zimperium påstår sig ha bekräftat fjärrexekvering och uppmärksammade Google på detta den 15 augusti. Som svar tilldelade Google CVE-2015-3876 och CVE-2015-6602 till paret av rapporterade problem och började arbeta på en åtgärd.
Är min telefon eller surfplatta påverkad?
På ett eller annat sätt, ja. CVE-2015-6602 hänvisar till en sårbarhet i libutils, och som Zimperium påpekar i sitt inlägg som tillkännager upptäckten av denna sårbarhet påverkar det alla Android-telefoner och surfplatta går tillbaka så långt som Android 1.0. CVE-2015-3876 påverkar alla telefoner eller surfplattor med Android 5.0 och senare och skulle teoretiskt sett kunna levereras via webbplats eller man i mitten ge sig på.
DOCK.
Det finns för närvarande inga offentliga exempel på att denna sårbarhet någonsin har använts för att utnyttja något utanför labbet förhållanden, och Zimperium planerar inte att dela med sig av proof-of-concept-utnyttjandet som de använde för att visa detta problem för Google. Även om det är möjligt att någon annan kan ta reda på detta utnyttjande innan Google utfärdar en patch, är det osannolikt att detaljerna bakom detta utnyttjande fortfarande hålls privat.
Vad gör Google åt detta?
Enligt ett uttalande från Google åtgärdar säkerhetsuppdateringen från oktober båda dessa sårbarheter. Dessa patchar kommer att göras i AOSP och kommer att rullas ut till Nexus-användare från och med den 5 oktober. Örnögda läsare kanske har lagt märke till Nexus 5X och Nexus 6P som vi nyligen tittade på hade redan den 5 oktober uppdateringen installerad, så om du förbeställde en av dessa telefoner kommer din hårdvara att komma patchad mot dessa sårbarheter. Ytterligare information om plåstret kommer att finnas i Android Security Google Group den 5 oktober.
Vad gäller icke-Nexus-telefoner tillhandahöll Google säkerhetsuppdateringen för oktober till partner den 10 september och har arbetat med OEM-tillverkare och operatörer för att leverera uppdateringen så snart som möjligt. Om du tar en titt på listan över enheter som patchades i den senaste Stagefright-exploateringen, har du en rimlig bild av vilken hårdvara som anses vara en prioritet i denna process.
Hur förblir jag säker tills patchen kommer till min telefon eller surfplatta?
I händelse av att någon verkligen springer runt med en Stagefright 2.0-exploatering och försöker infektera Android-användare, vilket återigen är högst osannolikt pga. till bristen på offentliga detaljer, nyckeln till att vara säker har allt att göra med att vara uppmärksam på var du surfar och vad du är ansluten till.
Undvik offentliga nätverk när du kan, lita på tvåfaktorsautentisering när det är möjligt och håll dig så långt borta från skumma webbplatser som du bara kan. Mestadels, sunt förnuft webbgrejer för att hålla dig säker.
Är detta världens ände?
Inte ens en liten bit. Även om alla Stagefright-sårbarheter verkligen är allvarliga och måste behandlas som sådana, kommunikation mellan Zimperium och Google för att säkerställa att dessa problem åtgärdas så snabbt som möjligt varit fantastiskt. Zimperium har med rätta uppmärksammat problem med Android, och Google har gått in för att fixa. I en perfekt värld skulle dessa sårbarheter inte existera, men de gör det och åtgärdas snabbt. Kan inte begära så mycket mer än så med tanke på den situation vi är i.