Video: Stagefright Exploit Demo - CVE 2015-3864 Metasploit Module (November 2024)
Pohybujte sa nad Heartbleed, existuje nová zlovestne pomenovaná digitálna hrozba, ktorá má potenciál pohltiť stovky miliónov ľudí. Hovorí sa tomu Stagefright a komunita informačnej bezpečnosti sa obáva, že 950 miliónov telefónov s Androidom je vystavených riziku zneužitia.
Zatiaľ čo väčšina hackerov pre Android vyžaduje od obetí, aby urobili nejakú chybu, napríklad ak sa im podarí sťahovanie škodlivého softvéru, zraniteľnosť systému Stagefright by už mohla byť na takmer miliarde telefónov s Androidom bez ohľadu na to, čo používatelia robia. A aký je skutočný vinník tejto zraniteľnosti (samozrejme okrem hackerov)? Pretrvávajúci problém fragmentácie systému Android.
Zlomiť si nohu
Podľa izraelskej podnikovej mobilnej zabezpečovacej spoločnosti Zimperium je pre spoločnosť Stagefright hrozivo ľahké infikovať váš telefón. Pri chybe je nedávno zistená chyba v kóde open source mediálnej knižnice spoločnosti Google, ktorá útočníkom umožňuje spustiť kód na vašom zariadení iba odoslaním textovej správy. Zraniteľnosť systému Stagefright by sa mohla použiť na uvedenie telefónu a jeho údajov na milosť útočníkovi. Kontakt, kamera, mikrofón a fotografie sú pod kontrolou hackera. Opäť sa to všetko môže stať úplne pod nosom. Neexistujú žiadne vonkajšie signály, že k porušeniu došlo.
Existuje niekoľko spôsobov, ako sa chrániť pred Stagefright. V aplikácii Hangouts prejdite do časti Nastavenia, vyberte možnosť SMS, urobte zo služby Hangouts predvolenú aplikáciu SMS a zrušte začiarknutie políčka „Automaticky načítať správy MMS“. Teraz môžete sledovať prichádzajúce správy MMS a vyhnúť sa stiahnutiu všetkého podozrivého. Ale aj keď to môže trvalo zabrániť tajnému zamoreniu, nie je to úplné riešenie. Stále by ste mohli omylom prečítať škodlivý text v bežnej aplikácii SMS.
Pre vizuálne vysvetlenie si pozrite tento diagram od spoločnosti Checkmarx, ktorá poskytuje analýzu zabezpečenia kódu, aby sa zabezpečilo, že vyvíjané mobilné aplikácie sú bezpečné pred zneužitím, ako je napríklad Stagefright.
Rozdvojená osobnosť
Bohužiaľ, najodolnejšie spôsoby, ako zabrániť útočníkom vo využívaní systému Stagefright, sú mimo dosahu väčšiny majiteľov Androidov. Ak máte telefón Google Nexus alebo akékoľvek iné zariadenie so systémom Android, pravdepodobne ste už dostali aktualizáciu, ktorá zneužíva zneužitie. Ak však váš telefón nemá prístup k najnovším aktualizáciám, zostane vám zraniteľné, kto vie, ako dlho. Nemôžete urobiť nič. Stačí, ak chcete, aby ste svoj telefón rootovali a problém sami vyriešili. Alebo si kúpte iPhone.
Stagefright je nebezpečný, ale je tiež frustrujúci, pretože neexistuje dôvod, prečo by sa malo stať takým veľkým rizikom. Aj keď by bolo pekné, keby sa zraniteľnosť objavila a riešila skôr vo vývoji, aspoň spoločnosť Google rýchlo vydala opravu chyby. Avšak, pretože Android je tak roztrieštený, s toľkými rôznymi zariadeniami, ktoré prevádzkujú svoju vlastnú mierne vylepšenú verziu mobilného operačného systému, nespočet používateľov nebude v bezpečí, kým oprava neprichádza k nim prostredníctvom výrobcov letargického hardvéru, ak dokonca dostanú opraviť vôbec. Môžete tvrdiť, že otvorenosť systému Android poskytuje slobode a výhodám systému iOS, ale v tomto prípade je pre spoločnosť Google to najlepšie, aby mal väčšiu kontrolu nad svojou platformou.
Spoločnosť Stagefright sa na Black Hat určite dostane budúci týždeň. Ak chcete získať viac informácií o nadchádzajúcej konferencii o počítačovej bezpečnosti, nezabudnite si prečítať stránku PCMag.com.