Videó: Stagefright Exploit Demo - CVE 2015-3864 Metasploit Module (November 2024)
A Heartbleed felett mozoghat egy új baljóslatú nevű digitális fenyegetés, amely több száz millió ember elnyelésére képes. Stagefrightnak hívják, és az információbiztonsági közösség attól tart, hogy 950 millió Android telefon veszélyezteti magát a kizsákmányolásban.
Noha a legtöbb Android-hack legalább az áldozatokat valamilyen hibának követeli meg, mint például a rosszindulatú programok letöltésének becsapása, a Stagefright sebezhetősége már közel milliárd Android-telefonon is lehet, függetlenül attól, hogy mit csinálnak a felhasználók. És mi a valódi tettes egy ilyen hatalmas sérülékenység mögött (természetesen a hackerek mellett)? Az Android töredezettségének folyamatos kiadása.
Eltörni egy lábat
Az izraeli Zimperium mobil biztonsági társaság szerint a Stagefright félelmetesen könnyű megfertőzni a telefonját. A hibában a Google nyílt forráskódú médiakönyvtárának nemrégiben észlelt hibája van, amely lehetővé teszi a támadók számára, hogy szöveges üzenet küldésével kódot hajtsanak végre az eszközén. A Stagefright sebezhetőség felhasználható arra, hogy a telefont és adatait a támadó kegyelmére tegye. A névjegyek, a kamera, a mikrofon és a fényképek a hackerek ellenőrzése alatt állnak. Mindez ismét teljesen megtörténhet az orrod alatt. Nincsenek külső jelek arra, hogy a jogsértés bekövetkezett.
Van néhány módszer, hogy megvédje magát a Stagefright ellen. A Hangouts alkalmazásban lépjen a Beállítások elemre, válassza az SMS lehetőséget, tegye a Hangoutsot alapértelmezett SMS-alkalmazásként, és törölje az "MMS automatikus letöltése" négyzetet. Most már átvizsgálhatja a bejövő MMS-üzeneteket, és elkerülheti a gyanús fájlok letöltését. De bár ez tartósan megakadályozhatja a titkos fertőzéseket, ez nem teljes megoldás. Még mindig véletlenül elolvashat egy rosszindulatú szöveget egy szokásos SMS-alkalmazásban.
Vizuális magyarázatért olvassa el ezt a diagramot a Checkmarx cégtől, amely kódbiztonsági elemzést végez, hogy megbizonyosodjon arról, hogy a fejlesztés alatt álló mobilalkalmazások biztonságban vannak-e a Stagefright-hoz hasonló kizsákmányolásokkal szemben.
Tudathasadás
Sajnos a támadóknak a Stagefright kihasználását megakadályozó legbiztosabb módjai az Android tulajdonosok többsége számára elérhetők. Ha rendelkezik Google Nexus telefonnal vagy bármilyen más, az Androidot futtató eszközzel, akkor valószínűleg már megkapta egy frissítést, amely a kizsákmányolást szűkíti. Ha azonban a telefonja nem fér hozzá a legfrissebb frissítésekhez, akkor kiszolgáltatottá válhat azok számára, akik tudják, mennyi ideig. Nem tehetsz semmit. Ez elegendő ahhoz, hogy meg akarja gyökerezni a telefonját, és maguk javítsák ki a problémát. Vagy vásároljon egy iPhone-t.
A fellépés veszélyes, de bosszantó is, mivel nincs ok, hogy ilyen nagy kockázatnak kellett volna válnia. Bár jó lett volna, ha a sebezhetőséget korábban fedezték fel és kezelik a fejlesztés során, legalább a Google gyorsan kiadott egy javítást a hibára. Mivel azonban az Android annyira széttöredezett, hogy oly sok különféle eszköz futtatja a mobil operációs rendszer saját kissé csípett verzióját, számtalan felhasználó nem lesz biztonságban, amíg a javítás be nem csapódik rájuk a letargikus hardvergyártók révén, ha még a egyáltalán javítani. Azt állíthatja, hogy az Android nyitottsága szabadságokat és előnyöket nyújt az iOS-hez, de ebben az esetben a legjobb dolog mindenkinek az lenne, ha a Google nagyobb ellenőrzést gyakoroljon a platform felett.
A Stagefright a jövő héten biztosan figyelmet fog kapni a Black Hat-on. Ha többet szeretne tudni a közelgő számítógépes biztonsági konferenciáról, ne felejtsd el olvasni a PCMag.com oldalt.
