Mit kell tudni a stagefright 2.0-ról

Az elmúlt pár hónapban sok bizonytalanság telepedett a Stagefright néven elnevezett témák sorozatával kapcsolatban, ez a név azért lett megszervezve, mert a talált problémák többsége az Android libstagefright-jával kapcsolatos. A Zimperium biztonsági cég közzétette, amit Stagefright 2.0-nak hívnak, két új kérdéssel, amelyek az mp3 és mp4 fájlokat érintik, amelyeket manipulálni lehet a telefonon található rosszindulatú kódok végrehajtásához.

Itt van, amit eddig tudunk, és hogyan lehet biztonságot viselni.

Mi a Stagefright 2.0?

Zimperium szerint egy nemrégiben felfedezett sebezhetőség lehetővé teszi a támadó számára, hogy egy Android telefont vagy táblagépet MP3 vagy MP4 formátumú fájlokkal nyújtson be, tehát amikor a fájl metaadatait az az operációs rendszer nézi meg, amely a fájlt képes végrehajtani rosszindulatú kód. Abban az esetben, ha egy középső ember támad vagy egy kifejezetten ezeknek a hibás formátumú fájloknak a kézbesítésére létrehozott webhelyet futtathatunk, ezt a kódot a felhasználó tudta nélkül is végrehajthatjuk.

A Zimperium állítása szerint megerősítette a távoli végrehajtást, és augusztus 15-én felhívta erre a Google figyelmét. Válaszul a Google a bejelentett problémák párához a CVE-2015-3876 és a CVE-2015-6602 számot jelölte meg, és javításra kezdett.

Befolyásolja a telefonom vagy a táblagépem?

Ilyen vagy úgy, igen. A CVE-2015-6602 a libutil-ok sérülékenységére utal, és amint arra Zimperium rámutat a biztonsági rés felfedezését ismertető üzenetében, az minden Android telefonra és táblagépre vonatkozik, egészen az Android 1.0-ig. A CVE-2015-3876 minden Android 5.0 vagy újabb telefont vagy táblagépet érint, és elméletileg weboldalon vagy a középső támadásban részt vevő embertől érhető el.

AZONBAN.

Jelenleg nincs nyilvános példa erre a sérülékenységre, amelyet valaha laboratóriumi körülményeken kívül használták ki, és Zimperium nem tervezi megosztani a koncepció bizonyítékának kihasználását, amelyet a probléma bemutatására használtak a Google-nak. Noha valószínű, hogy valaki más kigondolja ezt a kihasználást, mielőtt a Google kiadja a javítást, és valószínűtlen, hogy a kizsákmányolás mögött meghúzódó részletek továbbra is privátak maradnak.

Mit csinál a Google ezzel?

A Google nyilatkozata szerint az októberi biztonsági frissítés mindkét biztonsági rést megszünteti. Ezeket a javításokat AOSP-ben készítik, és október 5-től kapják a Nexus felhasználók számára. Az Eagle szemű olvasók észrevették a Nexus 5X és Nexus 6P eszközöket, amelyeket a közelmúltban megvizsgáltunk, és az október 5-i frissítést már telepítették, így ha előzetesen megrendelte az egyik ilyen telefont, akkor a hardvere javítva lesz a biztonsági rések ellen. A javítással kapcsolatos további információk október 5-én lesznek az Android Security Google Csoportban.

A nem Nexus telefonok vonatkozásában a Google szeptember 10-én bocsátotta az októberi biztonsági frissítést a partnerek rendelkezésére, és együttműködik az OEM-ekkel és a szállítókkal a frissítés lehető leghamarabbi kézbesítésében. Ha átnézi az utolsó Stagefright-kihasználásban javított eszközök listáját, akkor ésszerű képet kap arról, hogy a hardvert milyen prioritásnak tekintik ebben a folyamatban.

Hogyan tudok biztonságban maradni, amíg a javítás meg nem érkezik a telefonomhoz vagy táblagépemhöz?

Abban az esetben, ha valaki egy Stagefright 2.0-as kizsákmányolással fut, és megpróbálja megfertőzni az Android-felhasználókat, ami szintén nagyon valószínűtlen a nyilvános adatok hiánya miatt, a biztonság megőrzésének kulcsa minden azzal kapcsolatos, hogy odafigyelnek arra, ahol újból böngészi, és mihez kapcsolódik.

Kerülje el a nyilvános hálózatokat, amikor csak hagyatkozhat, kétfaktoros hitelesítésre támaszkodik, és maradjon lehetőleg távol az árnyékos webhelyektől. Leginkább a józan észű webes cuccok, amelyek megvédik magukat.

Ez a világ vége?

Még egy kicsit sem. Noha a Stagefright sebezhetősége valóban súlyos, és mint ilyen kezelni kell, a Zimperium és a Google közötti kommunikáció fantasztikus volt a Zimperium és a Google közötti kommunikáció biztosítása érdekében, hogy ezeket a kérdéseket a lehető leggyorsabban meg lehessen oldani. Zimperium helyesen hívta fel a figyelmet az Android problémáira, és a Google lépéseket tett a javítás érdekében. A tökéletes világban ezek a sebezhetőségek nem léteznek, de vannak, és gyorsan megoldandók. Nem tudok ennél sokkal többet kérni, tekintettel a helyzetre.