Что нужно знать о stagefright 2.0

Последние пару месяцев были полны неуверенности, связанной с серией проблем, широко называемых Stagefright, имя, которое заработало потому, что большинство обнаруженных проблем связано с libstagefright в Android. Охранная фирма Zimperium опубликовала то, что они называют Stagefright 2.0, с двумя новыми выпусками, касающимися файлов mp3 и mp4, которыми можно манипулировать для выполнения вредоносного кода на вашем телефоне.

Вот что мы знаем до сих пор, и как обезопасить себя.

Что такое Stagefright 2.0?

Согласно Zimperium, пара недавно обнаруженных уязвимостей позволяет злоумышленнику подарить телефону или планшету Android файл, похожий на MP3 или MP4, поэтому при просмотре метаданных для этого файла ОС может выполнить этот файл. вредоносный код. В случае атаки «Человек посередине» или веб-сайта, созданного специально для доставки этих искаженных файлов, этот код может быть выполнен без ведома пользователя.

Zimperium утверждает, что подтвердил удаленное выполнение, и 15 августа обратил на это внимание Google. В ответ Google присвоил CVE-2015-3876 и CVE-2015-6602 паре сообщенных проблем и начал работу над исправлением.

Повлиял ли мой телефон или планшет?

Так или иначе, да. CVE-2015-6602 относится к уязвимости в libutils, и, как Zimperium отмечает в своем сообщении об обнаружении этой уязвимости, она затрагивает все телефоны и планшеты Android, начиная с Android 1.0. CVE-2015-3876 затрагивает все телефоны и планшеты Android 5.0 и выше и теоретически может быть доставлен через веб-сайт или через посредника.

ТЕМ НЕ МЕНИЕ.

В настоящее время нет общедоступных примеров того, как эта уязвимость использовалась для использования чего-либо вне лабораторных условий, и Zimperium не планирует делиться демонстрационным эксплойтом, который они использовали для демонстрации этой проблемы в Google. Хотя, возможно, кто-то еще мог понять этот эксплойт до того, как Google выпустит патч, но детали этого эксплойта все еще остаются закрытыми, это маловероятно.

Что Google делает с этим?

Согласно заявлению Google, октябрьское обновление для системы безопасности устраняет обе эти уязвимости. Эти патчи будут сделаны в AOSP и будут разосланы пользователям Nexus с 5 октября. Читатели Eagle Eyes могли заметить, что Nexus 5X и Nexus 6P, на которые мы недавно смотрели, уже установили обновление 5 октября, поэтому, если вы предварительно закажете один из этих телефонов, ваше оборудование будет исправлено от этих уязвимостей. Дополнительная информация о патче появится в Android Security Google Group 5 октября.

Что касается телефонов, отличных от Nexus, Google предоставила партнерам октябрьское Обновление безопасности 10 сентября и работает с OEM-производителями и операторами, чтобы доставить обновление как можно скорее. Если вы посмотрите на список устройств, исправленных в последнем эксплойте Stagefright, у вас будет разумное представление о том, какое оборудование считается приоритетным в этом процессе.

Как мне оставаться в безопасности, пока не появится патч для моего телефона или планшета?

В случае, если кто-то действительно бегает с эксплойтом Stagefright 2.0 и пытается заразить пользователей Android, что опять-таки крайне маловероятно из-за отсутствия открытых деталей, ключ к тому, чтобы оставаться в безопасности, связан с тем, чтобы обращать внимание на то, где вы находитесь ». Пересматривайте и к чему вы подключены.

По возможности избегайте общедоступных сетей, полагайтесь на двухфакторную аутентификацию и держитесь как можно дальше от теневых веб-сайтов. В основном, здравый смысл веб-материалов для обеспечения безопасности.

Это конец света?

Даже не немного. Несмотря на то, что все уязвимости Stagefright действительно серьезны и должны рассматриваться как таковые, общение между Zimperium и Google для обеспечения скорейшего решения этих проблем было фантастическим. Zimperium справедливо обратил внимание на проблемы с Android, и Google вмешался, чтобы исправить это. В идеальном мире эти уязвимости не существовали бы, но они существуют и быстро устраняются. Не могу просить гораздо большего, учитывая ситуацию, в которой мы находимся.