Що потрібно знати про stagefright 2.0

Останні кілька місяців були сповнені чимало невизначеностей, пов’язаних із серією випусків у народі під назвою Stagefright - ім'я, зароблене через те, що більшість знайдених проблем пов'язані з libstagefright в Android. Захисна компанія Zimperium опублікувала те, що вони називають Stagefright 2.0, з двома новими проблемами, що стосуються файлів mp3 та mp4, якими можна керувати, щоб виконувати зловмисний код на вашому телефоні.

Ось що ми знаємо поки що, і як зберегти себе в безпеці.

Що таке Stagefright 2.0?

За словами Zimperium, пара нещодавно виявлених уразливостей дає можливість зловмиснику представити телефон або планшет Android з файлом, схожим на MP3 або MP4, тож коли метадані цього файлу попередньо переглядаються ОС, який цей файл може виконати шкідливий код. У випадку нападу "Людина в Близькому" або веб-сайт, створений спеціально для доставки цих неправильно сформованих файлів, цей код може бути виконаний без відома користувача.

Zimperium стверджує, що підтвердив віддалене виконання, і довів це до відома Google 15 серпня. У відповідь компанія Google призначила CVE-2015-3876 та CVE-2015-6602 пару повідомлених проблем і почала працювати над виправленням.

Чи впливає мій телефон чи планшет?

Так чи інакше, так. CVE-2015-6602 посилається на вразливість лібутилів, і як в своїй публікації вказує Zimperium, що оголошує про виявлення цієї вразливості, це впливає на кожен Android-планшет і планшет Android, починаючи з Android 1.0. CVE-2015-3876 впливає на кожен Android 5.0 або новіший телефон або планшет, і теоретично його можна доставити через веб-сайт або людину в атаці середнього рівня.

ЗАРАЗ.

В даний час немає публічних прикладів цієї вразливості, коли-небудь використовувались для експлуатації чогось поза лабораторними умовами, і Zimperium не планує ділитися досвідом експлуатації, який вони використовували для демонстрації цієї проблеми в Google. Незважаючи на те, що хтось інший міг би розібратися з цим поворотом до того, як Google випустить виправлення, однак деталі, що стоять за цим подвигом, залишаються приватними, навряд чи.

Що з цим робить Google?

Згідно із заявою від Google, оновлення безпеки в жовтні вирішує обидві ці вразливості. Ці виправлення будуть зроблені в AOSP і будуть передані користувачам Nexus з 5 жовтня. Читачі Eagle очей, можливо, помітили Nexus 5X та Nexus 6P, які ми нещодавно переглядали, вже встановлено оновлення 5 жовтня, тож якщо ви попередньо замовили один із цих телефонів, ваше обладнання надійде зафіксовано проти цих вразливих місць. Додаткова інформація про виправлення надійде в групу Google Security Android 5 жовтня.

Що стосується телефонів, що не належать до Nexus, 10 вересня компанія Google надала оновлення безпеки в жовтні партнерам, і співпрацює з виробниками-виробниками та операторами, щоб доставити оновлення якнайшвидше. Якщо ви подивитесь на перелік пристроїв, зафіксованих в останньому експлуатуванні Stagefright, ви отримали розумну картину того, яке обладнання вважається пріоритетним у цьому процесі.

Як я залишаюся в безпеці, поки не прийде патч для телефону чи планшета?

У випадку, якщо хтось справді розбігається з експлуатуванням Stagefright 2.0 і намагається заразити користувачів Android, що знову ж таки є малоймовірним через відсутність загальнодоступних деталей, ключ до збереження в безпеці має все спільне значення для того, щоб звернути увагу на те, де ви ' повторно переглядайте та до чого ви підключені.

Коли ви можете, уникайте публічних мереж, покладайтеся на двофакторну автентифікацію, коли це можливо, і тримайтеся якнайдалі від тінистих веб-сайтів, наскільки це можливо. Здебільшого, веб-речі про здоровий глузд, щоб захистити себе.

Це кінець світу?

Навіть небагато. Незважаючи на те, що всі вразливості Stagefright насправді є серйозними, і їх потрібно розглядати як такі, спілкування між Zimperium та Google для забезпечення якнайшвидшого вирішення цих питань було фантастичним. Zimperium справедливо звернув увагу на проблеми з Android, а Google вступив у виправлення. У досконалому світі цих вразливих місць не існувало б, але вони є, і вони швидко усуваються. Не можу просити набагато більше, ніж це, враховуючи ситуацію, в якій ми знаходимося.