Android má velkou bezpečnostní chybu v komponentě známé jako „Stagefright“. Pouhé přijetí škodlivé zprávy MMS může vést k ohrožení vašeho telefonu. Je překvapivé, že jsme neviděli žádného červa šířícího se z telefonu na telefon jako červi na počátku Windows XP - všechny ingredience jsou zde.
Je to vlastně o něco horší, než to zní. Média se z velké části zaměřila na metodu útoku MMS, ale i videa MP4 vložená do webových stránek nebo aplikací by mohla ohrozit váš telefon nebo tablet.
Proč je chyba Stagefright nebezpečná - nejde jen o MMS
Někteří komentátoři tento útok nazvali „Stagefright“, ale ve skutečnosti se jedná o útok na komponentu Android s názvem Stagefright. Toto je součást multimediálního přehrávače v systému Android. Má zranitelnost, kterou lze zneužít - nejnebezpečněji prostřednictvím MMS, což je textová zpráva s vloženými multimediálními komponentami.
Mnoho výrobců telefonů Android se nerozumně rozhodlo udělit systémová oprávnění Stagefright, což je jeden krok pod přístupem root. Exploiting Stagefright umožňuje útočníkovi spustit arbtirary kód s oprávněním „media“ nebo „system“, v závislosti na tom, jak je zařízení nakonfigurováno. Systémová oprávnění by útočníkovi poskytla v zásadě úplný přístup k jeho zařízení. Nabídka společnosti Zimperium, která problém objevila a nahlásila více informací .
Typické aplikace pro zasílání textových zpráv pro Android automaticky načítají příchozí zprávy MMS. To znamená, že vás může někdo kompromitovat tím, že vám někdo pošle zprávu přes telefonní síť. Když byl váš telefon ohrožen, červ využívající tuto chybu zabezpečení mohl číst vaše kontakty a odesílat vašim kontaktům škodlivé zprávy MMS, šířící se jako blesk, jako to udělal virus Melissa v roce 1999 pomocí kontaktů aplikace Outlook a e-mailu.
Počáteční zprávy se zaměřovaly na MMS, protože to byl nejvíce potenciálně nebezpečný vektor, který Stagefright mohl využít. Ale nejde jen o MMS. Tak jako Trend Micro poukázal , Tato chyba zabezpečení je v komponentě „mediaserver“ a škodlivý soubor MP4 vložený na webové stránce by ji mohl zneužít - ano, pouhou navigací na webovou stránku ve webovém prohlížeči. Totéž může udělat soubor MP4 vložený do aplikace, která chce zneužít vaše zařízení.
Je váš smartphone nebo tablet zranitelný?
Vaše zařízení Android je pravděpodobně zranitelné. Devadesát pět procent zařízení Android ve volné přírodě je zranitelných vůči Stagefright.
Pro jistotu si nainstalujte Aplikace Stagefright Detector z Google Play. Tuto aplikaci vytvořilo Zimperium, které objevilo a nahlásilo chybu zabezpečení Stagefright. Zkontroluje vaše zařízení a řekne vám, zda byla aplikace Stagefright opravena v telefonu Android nebo ne.
Jak zabránit útokům Stagefright, pokud jste zranitelní
Pokud víme, antivirové aplikace pro Android vás nezachrání před útoky Stagefright. Nemusí mít nutně dostatečná systémová oprávnění k zachycení zpráv MMS a narušení systémových komponent. Google také nemůže aktualizovat součást Služby Google Play v systému Android k opravě této chyby používá patchworkové řešení, které Google často používá, když se objeví bezpečnostní mezery.
Abyste se skutečně vyhnuli ohrožení, musíte zabránit tomu, aby si vybraná aplikace pro zasílání zpráv stahovala a spouštěla zprávy MMS. Obecně to znamená deaktivovat nastavení „automatického načítání MMS“ v jeho nastavení. Když obdržíte zprávu MMS, automaticky se nestáhne - budete si ji muset stáhnout klepnutím na zástupný symbol nebo na něco podobného. Pokud se rozhodnete stáhnout MMS, nebudete v ohrožení.
To byste neměli dělat. Pokud jsou zprávy MMS od někoho, koho neznáte, určitě to ignorujte. Pokud je MMS od přítele, je možné, že byl jejich telefon napaden, pokud červ začne vzlétnout. Je nejbezpečnější nikdy stahovat zprávy MMS, pokud je váš telefon zranitelný.
Chcete-li zakázat automatické načítání zpráv MMS, postupujte podle příslušných kroků pro vaši aplikaci pro zasílání zpráv.
- Zprávy (integrováno do systému Android): Otevřete Zprávy, klepněte na tlačítko nabídky a klepněte na Nastavení. Přejděte dolů do sekce „Multimédia (MMS) zprávy“ a zrušte zaškrtnutí u „Automatického načítání“.
- Posel (Google): Otevřete Messenger, klepněte na nabídku, klepněte na Nastavení, klepněte na Pokročilé a deaktivujte možnost „Automatické načítání“.
- setkání (Google): Otevřete Hangouts, klepněte na nabídku a přejděte do Nastavení> SMS. Zrušte zaškrtnutí možnosti „Automatické načítání SMS“ v části Pokročilé. (Pokud zde nevidíte možnosti SMS, váš telefon nepoužívá službu Hangouts pro SMS. Deaktivujte nastavení v aplikaci SMS, kterou místo toho používáte.)
- Zprávy (Samsung): Otevřete Zprávy a přejděte do Více> Nastavení> Další nastavení. Klepněte na Multimediální zprávy a deaktivujte možnost „Automatické načítání“. Toto nastavení může být na jiném místě na různých zařízeních Samsung, která používají různé verze aplikace Zprávy.
Zde je nemožné vytvořit kompletní seznam. Stačí otevřít aplikaci, kterou používáte k odesílání SMS zpráv (textových zpráv), a hledat možnost, která zakáže „automatické načítání“ nebo „automatické stahování“ zpráv MMS.
Varování : Pokud se rozhodnete stáhnout zprávu MMS, jste stále zranitelní. A protože zranitelnost Stagefright není jen problém se zprávami MMS, nebude vás to úplně chránit před každým typem útoku.
Kdy váš telefon dostává opravu?
PŘÍBUZNÝ: Proč váš telefon Android nedostává aktualizace operačního systému a co s tím můžete dělat
Spíše než se pokusit chybu vyřešit, bylo by lepší, kdyby váš telefon právě obdržel aktualizaci, která ji opravila. Bohužel je situace s aktualizací systému Android v současné době noční můrou. Pokud máte nedávný vlajkový telefon, můžete pravděpodobně v určitém okamžiku očekávat upgrade - snad. Pokud máte starší telefon, zejména telefon nižší třídy, je velká šance, že nikdy nedostanete aktualizaci .
- Zařízení Nexus : Google nyní vydal aktualizace pro Nexus 4, Nexus 5, Nexus 6, Nexus 7 (2013), Nexus 9 a Nexus 10. Původní Nexus 7 (2012) zjevně již není podporován a nebude opraven
- Samsung : Sprint začal vydávat aktualizace pro Galaxy S5, S6, S6 Edge a Note Edge. Není jasné, kdy jiní operátoři tlačí tyto aktualizace ven.
Google také řekl Ars Technica že „nejpopulárnější zařízení Android“ se aktualizace dočká v srpnu, včetně:
- Samsung : Galaxy S3, S4 a Note 4, kromě výše uvedených telefonů.
- HTC : One M7, One M8 a One M9.
- LG : G2, G3 a G4.
- Sony : Xperia Z2, Z3, Z4 a Z3 Compact.
- Android One zařízení podporovaná společností Google
Společnost Motorola také oznámila, že od srpna bude opravovat své telefony, včetně Moto X (1. a 2. generace), Moto X Pro, Moto Maxx / Turbo, Moto G (1., 2. a 3. generace), Moto G s 4G LTE (1. a 2. generace), Moto E (1. a 2. generace), Moto E se 4G LTE (2. generace), DROID Turbo a DROID Ultra / Mini / Maxx.
Google Nexus, Samsung a LG se zavázaly aktualizovat své telefony aktualizacemi zabezpečení jednou za měsíc. Tento příslib se však ve skutečnosti týká pouze vlajkových telefonů a vyžadoval by spolupráci dopravců. Není jasné, jak dobře by to fungovalo. Dopravci by těmto aktualizacím mohli stát v cestě, a to stále ponechává velké množství - tisíce různých modelů - používaných telefonů bez aktualizace.
Nebo stačí nainstalovat CyanogenMod
PŘÍBUZNÝ: 8 důvodů pro instalaci LineageOS na vaše zařízení Android
CyanogenMod je vlastní ROM pro Android od jiného výrobce, který často používají nadšenci . Přináší aktuální verzi systému Android do zařízení, která výrobci přestali podporovat. Pro průměrného člověka to není opravdu ideální řešení, jak to vyžaduje odemknutí zavaděče telefonu . Pokud je však váš telefon podporován, můžete pomocí tohoto triku získat aktuální verzi systému Android s aktuálními aktualizacemi zabezpečení. Není to špatný nápad instalovat CyanogenMod pokud váš telefon již není výrobcem podporován.
CyanogenMod opravil zranitelnost Stagefright v nočních verzích a oprava by se měla brzy dostat do stabilní verze prostřednictvím aktualizace OTA.
Android má problém: Většina zařízení neobdrží aktualizace zabezpečení
PŘÍBUZNÝ: Proč jsou iPhony bezpečnější než telefony Android
Toto je bohužel jen jeden z mnoha bezpečnostních otvorů, které si staré Androidy vytvářejí. Je to obzvláště špatný, kterému se dostává více pozornosti. Většina zařízení Android - všechna zařízení se systémem Android 4.3 a starší - mít zranitelnou součást webového prohlížeče , například. Toto nebude nikdy opraveno, pokud zařízení upgradovat na novější verzi Androidu. Můžete se proti němu chránit spuštěním prohlížeče Chrome nebo Firefox, ale tento zranitelný prohlížeč bude na těchto zařízeních navždy, dokud nebude vyměněn. Výrobci nemají zájem o jejich aktualizaci a údržbu, a proto se tolik lidí obrátilo na CyanogenMod.
Google, výrobci zařízení se systémem Android a mobilní operátoři se musí snažit, protože současná metoda aktualizace - nebo spíše neaktualizace - zařízení Android vede k ekosystému Android se zařízeními, která si časem vytvářejí díry. Tohle je proč jsou iPhony bezpečnější než telefony Android - iPhony skutečně dostávají bezpečnostní aktualizace. Apple se zavázal aktualizovat iPhony déle než Google (pouze telefony Nexus), Samsung a LG se také snaží upgradovat své telefony.
Pravděpodobně jste to už slyšeli používání Windows XP je nebezpečné protože se již neaktualizuje. XP bude v průběhu času pokračovat v budování bezpečnostních děr a bude stále zranitelnější. Používání většiny telefonů se systémem Android je stejné - také nedostávají aktualizace zabezpečení.
Některá zmírnění zneužití mohou pomoci zabránit červu Stagefright převzít miliony telefonů Android. Google tvrdí, že ASLR a další ochrany v novějších verzích systému Android pomáhají před útokem na Stagefright, což se zdá být částečně pravdivé.
Zdá se, že někteří mobilní operátoři také blokují potenciálně škodlivou zprávu MMS na svém konci a brání jim v dosažení zranitelných telefonů. To by pomohlo zabránit šíření červa prostřednictvím zpráv MMS, přinejmenším u dopravců, kteří přijmou opatření.
Kredit obrázku: Matteo Doni na Flickru
