Android мае вялікую памылку бяспекі ў кампаненце, вядомым як "Stagefright". Толькі атрыманне шкоднаснага MMS-паведамлення можа сапсаваць ваш тэлефон. Дзіўна, што мы не бачылі, як чарвяк распаўсюджваўся з тэлефона на тэлефон, як чарвякі рана ў Windows XP - усе інгрэдыенты ёсць тут.

На самай справе крыху горш, чым здаецца. Сродкі масавай інфармацыі шмат у чым сканцэнтраваны на метадзе MMS-нападу, але нават відэа MP4, убудаваныя ў вэб-старонкі ці прыкладанні, могуць паставіць пад пагрозу ваш тэлефон ці планшэт.

Чаму плён "Stagefright" небяспечны - гэта не толькі MMS

Некаторыя каментатары называюць гэтую атаку "Stagefright", але гэта на самай справе атака на кампанент Android пад назвай Stagefright. Гэта кампанент мультымедыйнага прайгравальніка ў Android. Ён мае ўразлівасць, якую можна выкарыстоўваць - найбольш небяспечна праз MMS, які ўяўляе сабой тэкставае паведамленне з убудаванымі мультымедыйнымі кампанентамі.

Шматлікія вытворцы тэлефонаў Android неразумна вырашылі даць дазволы на сістэму Stagefright, што на адзін крок ніжэй каранёвага доступу. Эксплуатуючы Stagefright дазваляе зламысніку запусціць арбітражны код з дазволам "СМІ" альбо "Сістэма", у залежнасці ад таго, як наладжана прылада. Сістэмныя дазволы даюць магчымасць зламысніку ў поўнай меры атрымаць доступ да сваёй прылады. Zimperium, арганізацыя, якая выявіла і паведаміла пра праблему, прапануе больш падрабязную інфармацыю.

Тыповыя прыкладанні для тэкставых паведамленняў Android для аўтаматычнага пошуку ўваходных MMS-паведамленняў. Гэта азначае, што вы маглі б узламаны, калі хтосьці адправіць вам паведамленне па тэлефоннай сетцы. З-за небяспекі вашага тэлефона, чарвяк, які карыстаецца гэтай уразлівасцю, можа чытаць вашы кантакты і адпраўляць на вашыя кантакты шкоднасныя MMS-паведамленні, распаўсюджваючыся як лясны пажар, як вірус Мелісы, яшчэ ў 1999 годзе, выкарыстоўваючы Outlook і кантакты па электроннай пошце.

Першапачатковыя справаздачы былі сканцэнтраваны на MMS, таму што гэта быў найбольш патэнцыйна небяспечны вектар, якім маглі скарыстацца Stagefright. Але гэта не толькі MMS. Як адзначыла Trend Micro, гэтая ўразлівасць складаецца з кампанента "mediaserver", і шкоднасны файл MP4, убудаваны на вэб-старонку, можа выкарыстаць яго - так, толькі пры пераходзе на вэб-старонку ў вашым вэб-браўзэры. Файл MP4, убудаваны ў дадатак, які хоча выкарыстоўваць ваша прылада, можа зрабіць тое ж самае.

Уразлівы ваш смартфон або планшэт?

Магчыма, ваша прылада Android уразлівая. Дзевяноста пяць адсоткаў прылад Android у дзікай прыродзе ўразлівыя для Stagefright.

Каб пераканацца, усталюйце прыкладанне Degector Stagefright з Google Play. Гэта дадатак зроблена кампаніяй Zimperium, якая выявіла і паведаміла пра ўразлівасць Stagefright. Ён правярае вашу прыладу і паведамляе вам, ці быў "Stagefright" замацаваны на вашым тэлефоне Android.

Як прадухіліць атаку, калі вы ўразлівыя

Наколькі нам вядома, антывірусныя праграмы Android не пазбавяць вас ад нападаў Stagefright. Яны не абавязкова маюць дастаткова сістэмных дазволаў для перахопу MMS-паведамленняў і перашкод для сістэмных кампанентаў. Google таксама не можа абнавіць кампанент Служб Google Play у Android, каб выправіць гэтую памылку, лапікавае рашэнне Google часта выкарыстоўваецца, калі выяўляюцца адтуліны ў бяспецы.

Каб сапраўды перашкодзіць сабе ўзламаць, неабходна не дапускаць загрузкі і запуску MMS-паведамленняў для абранага паведамлення. Увогуле, гэта азначае адключэнне ў наладах параметраў «Аўтазагрузка MMS». Калі вы атрымаеце MMS-паведамленне, яно не будзе аўтаматычна загружацца - вам прыйдзецца загрузіць яго, націснуўшы на запаўняльнік запаўнення або нешта падобнае. Вы не рызыкуеце, калі вы не вырашыце загрузіць MMS.

Вы не павінны гэтага рабіць. Калі MMS паведамляецца ад чалавека, якога вы не ведаеце, абавязкова ігнаруйце яго. Калі MMS з'яўляецца ад сябра, магчыма, іх тэлефон будзе сапсаваны, калі чарвяк пачне ўзлятаць. Бяспечней ніколі не загружаць MMS-паведамленні, калі ваш тэлефон уразлівы.

Каб адключыць аўтаматычнае пошук MMS, выканайце адпаведныя дзеянні для прыкладання для абмену паведамленнямі.

  • Паведамленні (убудавана ў Android): Адкрыйце паведамленні, націсніце кнопку меню і націсніце Налады. Пракруціць ўніз да раздзела "Мультымедыйныя (MMS)" і зніміце галачку "Аўта-здабыццё". Messenger (Google): адкрыйце Messenger, націсніце меню, націсніце Настройкі, націсніце Дадатковыя і адключыце «Аўта-пошук». Hangouts (ад Google): адкрыйце Hangouts, націсніце меню і перайдзіце ў раздзел Налады> SMS. Зніміце галачку "Аўтаматычна атрымаць SMS" у раздзеле Дадаткова. (Калі вы не бачыце тут опцый SMS, ваш тэлефон не выкарыстоўвае Hangouts для SMS. Адключыце налады ў прыкладанні SMS, якое вы выкарыстоўваеце замест гэтага.) Паведамленні (ад Samsung): Адкрыйце паведамленні і перайдзіце да раздзела Далей> Налады> Дадатковыя налады. . Націсніце Мультымедыйныя паведамленні і адключыце опцыю «Аўтазагрузка». Гэты параметр можа быць у іншым месцы на розных прыладах Samsung, якія выкарыстоўваюць розныя версіі прыкладання Messages.

Тут немагчыма скласці поўны спіс. Проста адкрыйце прыкладанне, якое вы выкарыстоўваеце для адпраўкі SMS (тэкставых паведамленняў) і шукайце варыянт, які адключыць "аўтаматычнае атрыманне" або "аўтаматычную загрузку" MMS-паведамленняў.

Папярэджанне: калі вы вырашылі загрузіць MMS-паведамленне, вы ўсё яшчэ ўразлівыя. Паколькі ўразлівасць Stagefright - гэта не толькі праблема MMS, гэта не абароніць вас ад усіх відаў нападаў.

Калі ваш тэлефон атрымлівае патч?

Звязана: Чаму ваш тэлефон Android не атрымлівае абнаўлення аперацыйнай сістэмы і што вы можаце з гэтым зрабіць

Замест таго, каб спрабаваць абыйсці памылку, было б лепш, калі б ваш тэлефон проста атрымаў абнаўленне, якое выправіла яго. На жаль, сітуацыя з абнаўленнем Android у цяперашні час з'яўляецца кашмарам. Калі ў вас ёсць нядаўні флагманскі тэлефон, вы, верагодна, чакаеце абнаўлення ў нейкі момант - спадзяюся. Калі ў вас старэйшы тэлефон, асабліва тэлефон ніжэйшага класа, ёсць усе шанцы, што вы проста ніколі не атрымаеце абнаўленне.

  • Nexus Devices: Google ужо выпусціў абнаўленні для Nexus 4, Nexus 5, Nexus 6, Nexus 7 (2013), Nexus 9 і Nexus 10. Арыгінальны Nexus 7 (2012), відавочна, больш не падтрымліваецца і не будзе выпраўлены. Samsung: Sprint пачаў выцясняць абнаўленні для Galaxy S5, S6, S6 Edge і Note Edge. Незразумела, калі іншыя носьбіты выштурхоўваюць гэтыя абнаўленні.

Google таксама паведаміў Ars Technica, што "самыя папулярныя прылады Android" будуць абнаўляцца ў жніўні, уключаючы:

  • Samsung: Galaxy S3, S4 і Note 4, акрамя тэлефонаў вышэй. HTC: One M7, One M8 і One M9. LG: G2, G3 і G4. Sony: Xperia Z2, Z3, Z4 і Z3 Compact. Прылады Android One падтрымліваюцца Google

Motorola таксама абвясціла, што ў жніўні абнавіць свае тэлефоны з абнаўленнямі, уключаючы Moto X (1-е і 2-е пакаленне), Moto X Pro, Moto Maxx / Turbo, Moto G (1-е, 2-е і 3-е пакаленні), Moto G з 4G LTE (1-е і 2-е пакаленне), Moto E (1-е і 2-е пакаленне), Moto E з 4G LTE (2-е пакаленне), DROID Turbo і DROID Ultra / Mini / Maxx.

Google Nexus, Samsung і LG абавязаліся абнаўляць свае тэлефоны з дапамогай абнаўленняў бяспекі раз у месяц. Аднак гэта абяцанне распаўсюджваецца толькі на флагманскія тэлефоны і патрабуе супрацоўніцтва аператараў. Незразумела, наколькі добра гэта атрымаецца. Носьбіты патэнцыйна могуць замінаць гэтым абнаўленням, і гэта ўсё яшчэ пакідае вялікую колькасць - тысячы розных мадэляў - у карыстаных тэлефонах без абнаўленняў.

Ці проста ўсталюйце CyanogenMod

Звязана: 8 прычын, каб усталяваць LineageOS на прыладзе Android

CyanogenMod - гэта іншы карыстацкі ПЗУ Android, які часта выкарыстоўваецца энтузіястамі. Ён прыносіць бягучую версію Android на прылады, якія вытворцы перасталі падтрымліваць. Гэта на самай справе не ідэальнае рашэнне для звычайнага чалавека, бо патрабуецца разблакаваць загрузнік вашага тэлефона. Але, калі ваш тэлефон падтрымліваецца, вы можаце выкарыстоўваць гэты трук, каб атрымаць бягучую версію Android з актуальнымі абнаўленнямі бяспекі. Устанавіць CyanogenMod нядрэнна, калі ваш тэлефон больш не падтрымлівае яго вытворца.

CyanogenMod выправіў уразлівасць Stagefright у начных версіях, і выпраўленне павінна хутка зрабіць яго стабільнай версіяй з дапамогай абнаўлення OTA.

17059031660_d89d4b9d3c_o

Android мае праблему: большасць прылад не атрымлівае абнаўлення бяспекі

Звязаныя: чаму айфоны больш бяспечныя, чым тэлефоны Android

Гэта, на жаль, толькі адна з мноства дзірак у бяспецы, якія ствараюць старыя прылады Android. Гэта проста вельмі дрэнна, які прыцягвае больш увагі. Напрыклад, большасць прылад Android - усе прылады пад кіраваннем Android 4.3 і старэй - маюць кампаненты ўразлівага вэб-браўзэра. Гэта ніколі не будзе выпраўлены, калі прылады не перайдуць на больш новую версію Android. Вы можаце засцерагчыся ад гэтага, запусціўшы Chrome ці Firefox, але гэты ўразлівы браўзэр назаўсёды будзе знаходзіцца на гэтых прыладах, пакуль іх не замяніць. Вытворцы не зацікаўлены ў тым, каб іх абнаўляць і абнаўляць, таму столькі людзей звярнуліся да CyanogenMod.

Google, вытворцы прылад Android і сотавыя носьбіты павінны прывесці іх у парадак, паколькі сучасны метад абнаўлення, а дакладней, не абнаўленне прылад Android, вядзе да экасістэмы Android, якая з часам стварае дзіркі. Вось чаму айфоны больш бяспечныя, чым тэлефоны Android - iPhone сапраўды атрымлівае абнаўленні бяспекі. Apple абавязалася абнаўляць iPhone даўжэй, чым Google (толькі для Nexus тэлефонаў), Samsung і LG таксама збіраюцца мадэрнізаваць свае тэлефоны.

Вы, напэўна, чулі, што карыстацца Windows XP небяспечна, бо ён больш не абнаўляецца. XP будзе працягваць нарастаць дзіркі ў бяспецы з цягам часу і станавіцца ўсё больш і больш уразлівымі. Ну, і большасць тэлефонаў Android з'яўляецца тым жа спосабам - яны таксама не атрымліваюць абнаўленняў бяспекі.

Некаторыя змякчэнні ў эксплуатацыі могуць дапамагчы прадухіліць заражэнне чарвяком Stagefright на мільёны тэлефонаў Android. Google сцвярджае, што ASLR і іншыя меры абароны на больш позніх версіях Android дапамагаюць прадухіліць атаку Stagefright, і гэта, здаецца, часткова дакладна.

Некаторыя сотавыя носьбіты таксама, здаецца, блакуюць патэнцыйна шкоднаснае MMS-паведамленне, не даючы ім уразлівых тэлефонаў. Гэта дапаможа прадухіліць распаўсюджванне чарвяка праз MMS-паведамленні, прынамсі, на носьбітаў, якія прымаюць меры.

Крэдыт малюнка: Матэа Доні на Flickr