В Android есть серьезная ошибка безопасности в компоненте, известном как Stagefright. Просто получение вредоносного MMS-сообщения может привести к взлому вашего телефона. Удивительно, что мы не видели, чтобы червь распространялся с телефона на телефон, как черви в первые дни Windows XP - здесь есть все ингредиенты.
На самом деле это немного хуже, чем кажется. Средства массовой информации в основном сосредоточены на методе атаки MMS, но даже видео MP4, встроенные в веб-страницы или приложения, могут поставить под угрозу ваш телефон или планшет.
Почему недостаток Stagefright опасен - это не просто MMS
Некоторые комментаторы назвали эту атаку «Stagefright», но на самом деле это атака на компонент в Android под названием Stagefright. Это компонент мультимедийного проигрывателя в Android. У него есть уязвимость, которая может быть использована - наиболее опасно через MMS, которое представляет собой текстовое сообщение со встроенными мультимедийными компонентами.
Многие производители телефонов Android неосмотрительно решили предоставить системные разрешения Stagefright, что на один шаг ниже корневого доступа. Использование Stagefright позволяет злоумышленнику запускать произвольный код с разрешениями «носитель» или «система», в зависимости от того, как настроено устройство. Системные разрешения дают злоумышленнику практически полный доступ к своему устройству. Zimperium, организация, которая обнаружила проблему и сообщила о ней, предлагает подробнее .
Типичные приложения для обмена текстовыми сообщениями Android автоматически получают входящие сообщения MMS. Это означает, что вы можете быть скомпрометированы, просто отправив вам сообщение по телефонной сети. Когда ваш телефон был скомпрометирован, червь, использующий эту уязвимость, мог читать ваши контакты и отправлять вредоносные MMS-сообщения вашим контактам, распространяясь со скоростью лесного пожара, как вирус Melissa в 1999 году, используя Outlook и контакты электронной почты.
Первоначальные отчеты были сосредоточены на MMS, потому что это был наиболее потенциально опасный вектор, которым Stagefright мог воспользоваться. Но это не просто MMS. Как Trend Micro отметила , Эта уязвимость находится в компоненте «mediaserver», и вредоносный файл MP4, встроенный в веб-страницу, может воспользоваться ею - да, просто перейдя на веб-страницу в вашем веб-браузере. Файл MP4, встроенный в приложение, которое хочет использовать ваше устройство, может сделать то же самое.
Ваш смартфон или планшет уязвим?
Возможно, ваше устройство Android уязвимо. Девяносто пять процентов устройств Android в дикой природе уязвимы для Stagefright.
Чтобы убедиться наверняка, установите Приложение Stagefright Detector из Google Play. Это приложение было разработано компанией Zimperium, которая обнаружила уязвимость Stagefright и сообщила о ней. Он проверит ваше устройство и сообщит, был ли Stagefright пропатчен на вашем телефоне Android или нет.
Как предотвратить атаки сценического боя, если вы уязвимы
Насколько нам известно, антивирусные приложения для Android не спасут вас от атак Stagefright. У них не обязательно достаточно системных разрешений для перехвата MMS-сообщений и вмешательства в системные компоненты. Google тоже не может обновить компонент Google Play Services в Android Чтобы исправить эту ошибку, Google часто использует лоскутное решение, когда обнаруживаются дыры в безопасности.
Чтобы действительно защитить себя от компрометации, вам необходимо предотвратить загрузку и запуск MMS-сообщений вашим приложением для обмена сообщениями. В общем, это означает отключение в его настройках параметра «Автозапуск MMS». Когда вы получаете сообщение MMS, оно не загружается автоматически - вам нужно будет загрузить его, нажав заполнитель или что-то подобное. Вы не подвергнетесь риску, если не загрузите MMS.
Тебе не следует этого делать. Если MMS пришло от незнакомого человека, не обращайте на него внимания. Если MMS пришло от друга, возможно, его телефон был взломан, если червь действительно начнет взлетать. Безопаснее всего никогда не загружать MMS-сообщения, если ваш телефон уязвим.
Чтобы отключить автозапуск MMS-сообщений, выполните соответствующие действия для вашего приложения для обмена сообщениями.
- Обмен сообщениями (встроено в Android): откройте «Сообщения», нажмите кнопку меню и нажмите «Настройки». Прокрутите вниз до раздела «Мультимедийные (MMS) сообщения» и снимите флажок «Автозагрузка».
- Посланник (от Google): откройте Messenger, коснитесь меню, коснитесь «Настройки», коснитесь «Дополнительно» и отключите «Автозагрузку».
- тусовки (от Google): откройте Hangouts, коснитесь меню и перейдите в «Настройки»> «SMS». Снимите флажок «Автозагрузка SMS» в разделе «Дополнительно». (Если вы не видите здесь вариантов SMS, ваш телефон не использует Hangouts для SMS. Отключите этот параметр в приложении для SMS, которое вы используете вместо этого.)
- Сообщения (от Samsung): откройте «Сообщения» и выберите «Еще»> «Настройки»> «Дополнительные настройки». Нажмите «Мультимедийные сообщения» и отключите параметр «Автозагрузка». Этот параметр может находиться в другом месте на разных устройствах Samsung, которые используют разные версии приложения «Сообщения».
Здесь невозможно составить полный список. Просто откройте приложение, которое вы используете для отправки SMS-сообщений (текстовых сообщений), и найдите параметр, который отключит «автоматическое получение» или «автоматическую загрузку» сообщений MMS.
Предупреждение : Если вы решите загрузить MMS-сообщение, вы все равно будете уязвимы. А поскольку уязвимость Stagefright связана не только с MMS-сообщением, она не защитит вас полностью от всех типов атак.
Когда на вашем телефоне есть патч?
СВЯЗАННЫЕ С: Почему ваш телефон Android не получает обновлений операционной системы и что вы можете с этим сделать
Вместо того, чтобы пытаться обойти ошибку, было бы лучше, если бы ваш телефон только что получил обновление, которое исправляет ее. К сожалению, ситуация с обновлением Android в настоящее время является кошмаром. Если у вас есть недавний флагманский телефон, вы, вероятно, можете ожидать обновления в какой-то момент - надеюсь. Если у вас старый телефон, особенно недорогой, есть большая вероятность, что вы просто никогда не получите обновления .
- Устройства Nexus : Google выпустила обновления для Nexus 4, Nexus 5, Nexus 6, Nexus 7 (2013 г.), Nexus 9 и Nexus 10. Исходный Nexus 7 (2012 г.), по-видимому, больше не поддерживается и не будет исправлен.
- Samsung : Sprint начал выпускать обновления для Galaxy S5, S6, S6 Edge и Note Edge. Неясно, когда другие операторы распространяют эти обновления.
Google также сказал Ars Technica что «самые популярные устройства Android» получат обновление в августе, в том числе:
- Samsung : Galaxy S3, S4 и Note 4, в дополнение к телефонам, указанным выше.
- HTC : One M7, One M8 и One M9.
- LG : G2, G3 и G4.
- Sony : Xperia Z2, Z3, Z4 и Z3 Compact.
- Android One устройства, поддерживаемые Google
Motorola также объявила, что в августе будет обновлять свои телефоны обновлениями, включая Moto X (1-го и 2-го поколения), Moto X Pro, Moto Maxx / Turbo, Moto G (1-го, 2-го и 3-го поколения), Moto G. с 4G LTE (1-е и 2-е поколение), Moto E (1-е и 2-е поколение), Moto E с 4G LTE (2-е поколение), DROID Turbo и DROID Ultra / Mini / Maxx.
Google Nexus, Samsung и LG взяли на себя обязательство обновлять свои телефоны обновлениями безопасности один раз в месяц. Однако это обещание действительно применимо только к флагманским телефонам и потребует от операторов сотрудничества. Неясно, насколько хорошо это сработает. Операторы могут потенциально помешать этим обновлениям, и это по-прежнему оставляет большое количество - тысячи различных моделей - используемых телефонов без обновления.
Или просто установите CyanogenMod
СВЯЗАННЫЕ С: 8 причин установить LineageOS на ваше устройство Android
CyanogenMod - это стороннее пользовательское ПЗУ для Android, которое часто используется энтузиастами. . Он предоставляет текущую версию Android для устройств, которые производители перестали поддерживать. Это не совсем идеальное решение для обычного человека, поскольку оно требует разблокировка загрузчика вашего телефона . Но если ваш телефон поддерживается, вы можете использовать этот трюк, чтобы получить текущую версию Android с текущими обновлениями безопасности. Неплохая идея установить CyanogenMod если ваш телефон больше не поддерживается производителем.
CyanogenMod устранил уязвимость Stagefright в ночных версиях, и это исправление должно скоро перейти в стабильную версию через обновление OTA.
У Android есть проблема: большинство устройств не получают обновления безопасности
СВЯЗАННЫЕ С: Почему iPhone более безопасен, чем телефоны Android
К сожалению, это лишь одна из многих дыр в безопасности, которые создают старые устройства Android. Это просто особенно плохой вопрос, который привлекает больше внимания. Большинство устройств Android - все устройства под управлением Android 4.3 и старше - иметь уязвимый компонент веб-браузера , например. Это никогда не будет исправлено, если устройства не обновятся до более новой версии Android. Вы можете защитить себя от него, запустив Chrome или Firefox, но этот уязвимый браузер навсегда останется на этих устройствах, пока они не будут заменены. Производители не заинтересованы в том, чтобы их обновляли и поддерживали, поэтому так много людей обратилось к CyanogenMod.
Google, производители устройств Android и операторы сотовой связи должны навести порядок, так как текущий метод обновления - или, скорее, не обновления - устройств Android приводит к экосистеме Android, в которой устройства со временем накапливают дыры. Это почему iPhone более безопасен, чем телефоны Android - iPhone действительно получает обновления безопасности. Apple взяла на себя обязательство обновлять iPhone дольше, чем Google (только телефоны Nexus), Samsung и LG также намерены обновлять свои телефоны.
Вы, наверное, слышали это использование Windows XP опасно потому что он больше не обновляется. XP со временем будет продолжать создавать бреши в безопасности и становиться все более уязвимыми. То же самое и с большинством телефонов Android - они тоже не получают обновлений безопасности.
Некоторые средства защиты от эксплойтов могут помочь предотвратить проникновение червя Stagefright на миллионы телефонов Android. Google утверждает, что ASLR и другие средства защиты в более поздних версиях Android помогают предотвратить атаку Stagefright, и это действительно частично верно.
Некоторые операторы сотовой связи также блокируют потенциально вредоносные MMS-сообщения на своей стороне, предотвращая доступ к уязвимым телефонам. Это поможет предотвратить распространение червя через MMS-сообщения, по крайней мере, в случае принятия мер операторами связи.
Кредит изображения: Маттео Дони на Flickr
