LINUX.ORG.RU

Stagefright


0

0

Всего сообщений: 1

Устройства на Android могут быть взломаны MMS-сообщением

Группа Android

Компанией Zimperium, специализирующейся в области безопасности мобильных коммуникаций, обнаружена уязвимость в написанной на C++ библиотеке обработки медиафайлов Stagefright.

При получении MMS-сообщения, содержащего определённый код, злоумышленник получает доступ к камере, микрофону и карте памяти, после чего есть возможность использования других уже существующих эксплойтов для дальнейшего получения доступа к другим ресурсам телефона (адресная книга, мессендежеры, почта, банковские приложения и т. п.). Открывать полученное сообщение необязательно, Android может самостоятельно обработать и удалить сообщение.

В Zimperium заявили, что данная уязвимость лишь одна из многих критических ошибок Android, которую они представят на конференции Black Hat в Лас-Вегасе в начале августа этого года.

Уязвимости подвержены все устройства работающие под Android, начиная с версии 2.2 вплоть до 5.1 (всего в мире насчитывается около 950 миллионов таких устройств). Несмотря на то, что информация об уязвимости недавно была передана Google и другим компаниям, на сегодняшний момент уязвимость частично устранена только в смартфонах Nexus 6. Остаётся лишь надеяться на то, что производители в ближайшее время выпустят патчи, устраняющие эту дыру, но их выпуск может затянуться, а старые версии могут никогда не получить исправления. На некоторых устройствах Stagefright изначально работает с root-привилегиями.

На данный момент существует несколько обходных путей:

  • получить root-доступ к устройству и отключить Stagefright;
  • удалить или отключить Hangouts (приложение обмена сообщениями по умолчанию, автоматически обрабатывающее сообщения), но и без Hangouts существует уязвимость при просмотре видеосообщений с внедрённым кодом;
  • отключить приём MMS-сообщений.

В Firefox 38 для Android и более новых версиях устранена эта уязвимость при просмотре видео.

>>> Подробности

 ,

amorpher ()