ל- Android יש באג אבטחה עצום ברכיב המכונה "Stagefright". עצם קבלת הודעת MMS זדונית עלולה לגרום לפגיעה בטלפון שלך. זה מפתיע שלא ראינו תולעת שמתפשטת מטלפון לטלפון כמו שתולעים בימים הראשונים של Windows XP - כל המרכיבים כאן.
זה בעצם קצת יותר גרוע ממה שזה נשמע. המדיה התמקדה במידה רבה בשיטת ההתקפה של MMS, אך אפילו סרטוני MP4 המוטמעים בדפי אינטרנט או באפליקציות עלולים לפגוע בטלפון או בטאבלט.
מדוע פגם Stagefright מסוכן - זה לא רק MMS
פרשנים מסוימים כינו את ההתקפה הזו "Stagefright", אך למעשה מדובר במתקפה על רכיב באנדרואיד בשם Stagefright. זהו רכיב נגן מולטימדיה באנדרואיד. יש בו פגיעות שניתן לנצל - בצורה המסוכנת ביותר באמצעות MMS, שהיא הודעת טקסט עם רכיבי מולטימדיה משובצים.
יצרני טלפונים אנדרואיד רבים בחרו בחוכמה לתת הרשאות מערכת Stagefright, וזה צעד אחד מתחת לגישה בסיסית. ניצול Stagefright מאפשר לתוקף להריץ קוד שרשור עם הרשאות "מדיה" או "מערכת", תלוי באופן הגדרת המכשיר. הרשאות מערכת יעניקו לתוקף גישה מוחלטת למכשיר שלהם. צימפריום, הארגון שגילה ודיווח על הנושא, מציע פרטים נוספים .
אפליקציות אופייניות להודעות טקסט של Android מאחזרות באופן אוטומטי הודעות MMS נכנסות. זה אומר שאתה יכול להתפשר רק על ידי מישהו ששולח לך הודעה ברשת הטלפון. כשהטלפון שלך נפגע, תולעת המשתמשת בפגיעות זו יכולה לקרוא את אנשי הקשר שלך ולשלוח הודעות MMS זדוניות לאנשי הקשר שלך, ולהתפשט כמו מאש כמו שנגיף מליסה עשה עוד בשנת 1999 באמצעות Outlook ואנשי קשר בדוא"ל.
הדיווחים הראשוניים התמקדו ב- MMS מכיוון שזה היה הווקטור המסוכן ביותר ש- Stagefright יכול לנצל. אבל זה לא רק MMS. כפי ש ציין טרנד מיקרו , פגיעות זו נמצאת ברכיב "mediaserver" וקובץ MP4 זדוני המוטמע בדף אינטרנט יכול לנצל אותו - כן, רק על ידי ניווט לדף אינטרנט בדפדפן האינטרנט שלך. קובץ MP4 המוטמע באפליקציה שרוצה לנצל את המכשיר שלך יכול לעשות את אותו הדבר.
האם הטלפון החכם או הטאבלט שלך פגיעים?
מכשיר ה- Android שלך כנראה פגיע. תשעים וחמישה אחוזים ממכשירי האנדרואיד בטבע הם פגיעים ל- Stagefright.
כדי לבדוק בוודאות, התקן את אפליקציית גלאי Stagefright מגוגל פליי. אפליקציה זו יוצרה על ידי צימפריום, שגילה ודיווח על הפגיעות של Stagefright. זה יבדוק את המכשיר שלך ויגיד לך אם Stagefright תוקן בטלפון אנדרואיד שלך או לא.
כיצד למנוע התקפות של Stagefright אם אתה פגיע
ככל הידוע לנו, אפליקציות אנטי-וירוס לאנדרואיד לא יחסכו ממך מתקפות Stagefright. אין בהכרח מספיק הרשאות מערכת כדי ליירט הודעות MMS ולהפריע לרכיבי המערכת. גוגל גם לא יכולה לעדכן את רכיב שירותי Google Play באנדרואיד כדי לתקן את הבאג הזה, פיתרון טלאים שגוגל משתמשת בו לעתים קרובות כאשר מופיעים חורי אבטחה.
כדי באמת למנוע את עצמך בסכנה, עליך למנוע מאפליקציית המסרים שבחרת להוריד ולהפעיל הודעות MMS. באופן כללי, המשמעות היא השבתת ההגדרה "אחזור אוטומטי של MMS" בהגדרות שלה. כשאתה מקבל הודעת MMS, היא לא תוריד אוטומטית - תצטרך להוריד אותה על ידי הקשה על מציין מיקום או משהו דומה. לא תהיה בסיכון אלא אם תבחר להוריד את MMS.
אתה לא צריך לעשות את זה. אם ה- MMS הוא ממישהו שאתה לא מכיר, התעלם ממנו בהחלט. אם ה- MMS הוא מחבר, יתכן והטלפון שלהם נפגע אם תולעת תתחיל להמריא. הכי בטוח לעולם לא להוריד הודעות MMS אם הטלפון שלך פגיע.
כדי להשבית אחזור אוטומטי של הודעות MMS, בצע את הצעדים המתאימים לאפליקציית המסרים שלך.
- מסרים (מובנה ב- Android): פתח את ההודעות, הקש על לחצן התפריט והקש על הגדרות. גלול מטה לקטע "הודעות מולטימדיה (MMS)" ובטל את הסימון של "אחזור אוטומטי".
- שָׁלִיחַ (על ידי Google): פתח את Messenger, הקש על התפריט, הקש על הגדרות, הקש על מתקדם והשבית "אחזור אוטומטי".
- מקומות בילוי (על ידי Google): פתח את Hangouts, הקש על התפריט ונווט אל הגדרות> SMS. בטל את הסימון של "אחזר SMS באופן אוטומטי" תחת מתקדם. (אם אינך רואה כאן אפשרויות SMS, הטלפון שלך אינו משתמש ב- Hangouts לצורך SMS. השבת את ההגדרה באפליקציית ה- SMS שבה אתה משתמש.)
- הודעות (על ידי סמסונג): פתח את ההודעות ונווט אל עוד> הגדרות> הגדרות נוספות. הקש על הודעות מולטימדיה והשבית את האפשרות "אחזור אוטומטי". הגדרה זו עשויה להיות במקום אחר במכשירי Samsung שונים, המשתמשים בגרסאות שונות של אפליקציית Messages.
אי אפשר לבנות כאן רשימה מלאה. פשוט פתח את האפליקציה שבה אתה משתמש לשליחת הודעות SMS (הודעות טקסט) וחפש אפשרות שתשבית "אחזור אוטומטי" או "הורדה אוטומטית" של הודעות MMS.
אַזהָרָה : אם תבחר להוריד הודעת MMS, אתה עדיין פגיע. וכיוון שהפגיעות של Stagefright אינה רק נושא הודעות MMS, הדבר לא יגן עליך לחלוטין מכל סוג של התקפה.
מתי הטלפון שלך מקבל תיקון?
קָשׁוּר: מדוע טלפון האנדרואיד שלך לא מקבל עדכוני מערכת הפעלה ומה אתה יכול לעשות בקשר לזה
במקום לנסות לעקוף את הבאג, עדיף שהטלפון שלך רק יקבל עדכון שתיקן אותו. למרבה הצער, מצב עדכון האנדרואיד כרגע הוא סיוט. אם יש לך טלפון דגל אחרון, אתה כנראה יכול לצפות לשדרוג בשלב כלשהו - בתקווה. אם יש לך טלפון ישן יותר, במיוחד טלפון נמוך יותר, יש סיכוי טוב שלעולם לא תקבל עדכון .
- מכשירי Nexus : גוגל פרסמה כעת עדכונים ל- Nexus 4, Nexus 5, Nexus 6, Nexus 7 (2013), Nexus 9 ו- Nexus 10. Nexus 7 המקורי (2012) כנראה כבר לא נתמך ולא יתוקן
- סמסונג : ספרינט החלה לדחוף עדכונים ל- Galaxy S5, S6, S6 Edge ו- Note Edge. לא ברור מתי ספקים אחרים דוחפים את העדכונים האלה החוצה.
גם גוגל אמר לארס טכניקה כי "מכשירי האנדרואיד הפופולריים ביותר" יקבלו את העדכון באוגוסט, כולל:
- סמסונג : ה- Galaxy S3, S4 ו- Note 4, בנוסף לטלפונים לעיל.
- HTC : ה- M7 האחד, ה- M8 והאחד M9.
- LG : ה- G2, G3 ו- G4.
- סוני : ה- Xperia Z2, Z3, Z4 ו- Z3 Compact.
- Android One מכשירים הנתמכים על ידי גוגל
מוטורולה הודיעה גם שתתקן את הטלפונים שלה עם עדכונים החל מאוגוסט, כולל ה- Moto X (דור 1 ו -2), Moto X Pro, Moto Maxx / Turbo, Moto G (דור 1, 2 ו- 3), Moto G עם 4G LTE (דור 1 ו -2), מוטו E (דור 1 ו -2), מוטו E עם 4G LTE (דור 2), DROID טורבו ו- DROID Ultra / Mini / Maxx.
גוגל נקסוס, סמסונג ו- LG התחייבו לעדכן את הטלפונים בעדכוני אבטחה אחת לחודש. עם זאת, הבטחה זו חלה רק על טלפוני דגל ותדרוש מהספקים לשתף פעולה. לא ברור עד כמה זה יצליח. ספקים עשויים לעמוד בדרכם של עדכונים אלה, וזה עדיין משאיר מספר גדול - אלפי דגמים שונים - של טלפונים בשימוש ללא העדכון.
לחלופין, פשוט התקן את CyanogenMod
קָשׁוּר: 8 סיבות להתקין LineageOS במכשיר ה- Android שלך
CyanogenMod הוא ROM מותאם אישית של צד שלישי של Android המשמש לעתים קרובות על ידי חובבים . זה מביא גרסה עדכנית של Android למכשירים שהיצרנים הפסיקו לתמוך בהם. זה לא באמת הפיתרון האידיאלי עבור האדם הממוצע כפי שהוא דורש פותח את נעילת האתחול של הטלפון שלך . אבל אם הטלפון שלך נתמך, אתה יכול להשתמש בטריק זה כדי להשיג גרסה עדכנית של Android עם עדכוני אבטחה עדכניים. זה לא רעיון רע להתקין CyanogenMod אם הטלפון שלך כבר לא נתמך על ידי היצרן.
CyanogenMod תיקן את הפגיעות של Stagefright בגרסאות הלילה, והתיקון אמור להגיע בקרוב לגרסה היציבה באמצעות עדכון OTA.
ל- Android יש בעיה: מרבית המכשירים לא מקבלים עדכוני אבטחה
קָשׁוּר: מדוע מכשירי iPhone מאובטחים יותר מטלפוני אנדרואיד
זהו רק אחד מחורי האבטחה הרבים שמצטברים מכשירי אנדרואיד ישנים, למרבה הצער. זה פשוט רע במיוחד שמקבל יותר תשומת לב. רוב מכשירי Android - כל המכשירים עם Android 4.3 ומעלה - יש רכיב דפדפן אינטרנט פגיע , לדוגמה. זה לעולם לא יתוקן רק אם המכשירים ישדרגו לגרסה חדשה יותר של Android. אתה יכול לעזור להגן על עצמך מפניו על ידי הפעלת Chrome או Firefox, אך הדפדפן הפגיע הזה יהיה לנצח במכשירים אלה עד להחלפתם. היצרנים לא מעוניינים לעדכן אותם ולתחזק אותם, ולכן אנשים רבים כל כך פנו ל- CyanogenMod.
גוגל, יצרני מכשירי אנדרואיד וספקי סלולר צריכים לעשות סדר, שכן השיטה הנוכחית לעדכון - או ליתר דיוק, לא לעדכן - מכשירי אנדרואיד מובילה למערכת אקולוגית של אנדרואיד עם מכשירים שמבנים חורים לאורך זמן. זה מדוע מכשירי iPhone מאובטחים יותר מטלפוני אנדרואיד - מכשירי iPhone למעשה מקבלים עדכוני אבטחה. אפל התחייבה לעדכן מכשירי אייפון לזמן ארוך יותר מגוגל (טלפוני Nexus בלבד), סמסונג ו- LG מתכוונים לשדרג גם את הטלפונים שלהם.
בטח שמעתם את זה השימוש ב- Windows XP מסוכן כי זה כבר לא מעודכן. XP תמשיך לבנות חורי אבטחה לאורך זמן ולהיות פגיעות יותר ויותר. ובכן, השימוש ברוב הטלפונים של אנדרואיד הוא באותה דרך - גם הם אינם מקבלים עדכוני אבטחה.
חלק מהניצולים המנצלים עשויים לסייע במניעת תולעת Stagefright להשתלט על מיליוני מכשירי Android. גוגל טוענת כי ASLR והגנות אחרות בגרסאות עדכניות יותר של Android מסייעות במניעת תקיפת Stagefright, ונראה שזה נכון באופן חלקי.
נראה שחלק מהנשאים הסלולריים חוסמים בסוף הודעת MMS שעלולה להיות זדונית, ומונעים מהם להגיע אי פעם לטלפונים פגיעים. זה יעזור במניעת התפשטות תולעת באמצעות הודעות MMS, לפחות על ספקים הנוקטים פעולה.
אשראי תמונה: מטאו דוני בפליקר
