פרסומת
פגיעות אנדרואיד חדשה חוששת מעולם האבטחה - והיא מותירה את הטלפון אנדרואיד שלך פגיע ביותר. הנושא מגיע בצורה של שישה באגים במודול אנדרואיד לא מזיק שנקרא פחד במהשמשמש להפעלת מדיה.
באגי StageFright מאפשרים ל- MMS זדוני, שנשלח על ידי האקר, לבצע קוד זדוני בתוך מודול StageFright. משם יש לקוד מספר אפשרויות להשתלטות על המכשיר. נכון לרגע זה, משהו כמו 950 מיליון מכשירים חשופים לניצול זה.
זו, בפשטות, הפגיעות הגרועה ביותר באנדרואיד בהיסטוריה.
השתלטות שקטה
משתמשי אנדרואיד כבר מתעצבנים מההפרה, ולא בכדי. סריקה מהירה של טוויטר מציגה משתמשים רבים שנוגעים לצוץ ככל שהחדשות מחלחלת לרשת.
לפי מה שאני שומע, אפילו מכשירי Nexus לא קיבלו תיקון עבורם #פחד במה. יש טלפון כלשהו? http://t.co/bnNRW75TrD
- תומאס ברוסטר (@iblametom) 27 ביולי 2015
חלק ממה שהופך את ההתקפה הזו לכל כך מפחידה הוא שמעט משתמשים יכולים לעשות כדי להגן על עצמם מפני זה. סביר להניח שהם אפילו לא היו יודעים שההתקפה אירעה.
בדרך כלל, כדי לתקוף מכשיר אנדרואיד, עליכם לגרום למשתמש להתקין אפליקציה זדונית. התקפה זו שונה: התוקף פשוט צריך לדעת את מספר הטלפון שלך ולשלוח הודעת מולטימדיה זדונית.
תלוי באפליקציית ההודעות שאתה משתמש בה, יתכן שלא תדע אפילו שההודעה הגיעה. לדוגמה: אם העברת הודעות ה- MMS שלך עוברות Hangouts של אנדרואיד של גוגל כיצד להשתמש ב- Hangouts של גוגל באנדרואיד שלךHangouts Google+ הוא התשובה של גוגל לחדרי צ'אט. תוכלו להסתובב עם עד 12 אנשים המשתמשים בצ'אט וידאו, אודיו וטקסט צ'אט, כמו גם מספר אפליקציות אופציונליות. Hangout זמין באנדרואיד שלך ... קרא עוד , ההודעה הזדונית תוכל להשתלט ולהסתיר את עצמה לפני שהמערכת אפילו תתריע למשתמש שהוא הגיע. במקרים אחרים, ייתכן שהנצל לא יעבור עד שההודעה תוצג בפועל, אך מרבית המשתמשים פשוט ישלחו אותה כלא מזיקה טקסט זבל זהה מספרים לא ידועים וחסום הודעות טקסט של דואר זבל עם Truemessenger עבור אנדרואידTruemessenger היא אפליקציה חדשה ופנטסטית לשליחה וקבלה של הודעות טקסט והיא יכולה לספר לכם מי מספר לא ידוע ולחסום דואר זבל. קרא עוד או מספר שגוי.
ברגע שיש במערכת, לקוד הפועל בתוך StageFright יש באופן אוטומטי גישה למצלמה ולמיקרופון, כמו גם להיקפי היקף Bluetooth, וכל מידע המאוחסן בכרטיס SD. זה מספיק גרוע, אבל (למרבה הצער) זו רק ההתחלה.
ואילו Android Lollipop מיישם מספר שיפורי אבטחה שדרוג של 8 דרכים ל- Android Lollipop הופך את הטלפון לאבטח יותרהסמארטפונים שלנו מלאים במידע רגיש, אז איך נוכל לשמור על עצמנו? באמצעות Android Lollipop, שאורז אגרוף גדול בזירת האבטחה, ומביא תכונות המשפרות את האבטחה בכל רחבי הסביבה. קרא עוד , רוב מכשירי ה- Android הם עדיין מריץ גרסאות ישנות יותר של מערכת ההפעלה מדריך מהיר לגרסאות ועדכוני אנדרואיד [אנדרואיד]אם מישהו אומר לך שהם מפעילים אנדרואיד, הם לא אומרים כמה שאתה חושב. שלא כמו מערכות ההפעלה העיקריות של מחשבים, אנדרואיד היא מערכת הפעלה רחבה המכסה מספר גרסאות ופלטפורמות. אם אתה רוצה... קרא עוד , והם פגיעים למשהו שנקרא "מתקפת הסלמה של הרשאות." בדרך כלל, אפליקציות Android הן "ארגז חול מה זה ארגז חול, ולמה אתה צריך לשחק באחדתוכניות חיבור מאוד יכולות לעשות הרבה, אבל הן גם הזמנה פתוחה עבור האקרים רעים לשבות. כדי למנוע שביתות להצליח, מפתח יצטרך לאתר ולסגור כל חור ב ... קרא עוד ", ומאפשרת להם לגשת רק לאותם היבטים של מערכת ההפעלה שניתנה להם הרשאה מפורשת לשימוש. התקפות הסלמה של הרשאות מאפשרות לקוד זדוני "להערים" על מערכת ההפעלה אנדרואיד כדי להעניק לה יותר ויותר גישה למכשיר.
לאחר שה- MMS הזדוני ישתלט על StageFright, הוא יכול להשתמש בהתקפות אלה כדי להשתלט באופן מוחלט על מכשירי אנדרואיד ישנים וחסרי ביטחון. זהו תרחיש סיוט לאבטחת מכשירים. המכשירים היחידים חסינים לחלוטין מגיליון זה הם אלה שמפעילים מערכות הפעלה ישנות יותר מ- Android 2.2 (Froyo), שהיא הגרסה שהציגה את StageFright מלכתחילה.
תגובה איטית
הפגיעות של StageFright נחשפה במקור באפריל על ידי Zimperium zLabs, קבוצה של חוקרי אבטחה. החוקרים דיווחו לגוגל על הנושא. גוגל שיחררה במהירות תיקון ליצרנים - עם זאת, מעט מאוד יצרני מכשירים דחפו למעשה את התיקון למכשירים שלהם. החוקר שגילה את החיידק, ג'ושוע דרייק, מאמינה שכ- 950 מיליון מתוך כמיליארד מכשירי האנדרואיד שנמצאים במחזור פגיעים לצורה כלשהי של התקיפה.
יש! @BlackHatEvents קיבלתי בחינניות את ההגשה שלי לדבר על המחקר שלי בנושא @ אנדרואידStageFright! https://t.co/9BW4z6Afmg
- ג'ושוע ג'. דרייק (@jduck) 20 במאי 2015
המכשירים של גוגל עצמה כמו Nexus 6 טופלו חלקית על פי דרייק, אם כי קיימות פגיעויות מסוימות. בהודעת דוא"ל ל- FORBES בנושא, גוגל הרגיעה את המשתמשים כי
"לרוב מכשירי האנדרואיד, כולל כל המכשירים החדשים יותר, יש טכנולוגיות מרובות שנועדו להקשות על הניצול. מכשירי אנדרואיד כוללים גם ארגז חול של אפליקציות שנועד להגן על נתוני משתמש ויישומים אחרים במכשיר, "
עם זאת, זה לא הרבה נוחות. עד אנדרואיד ג'לי 12 הטיפים המובילים של ג'לי שעועית לחוויה חדשה של טאבלט של גוגלג'לי שעועית אנדרואיד 4.2 אנדרואיד, שנשלחה בתחילה ב- Nexus 7, מספקת חוויית טאבלט חדשה ומעולה שמאפיינת גרסאות קודמות של אנדרואיד. זה אפילו הרשים את אוהד אפל התושב שלנו. אם יש לך Nexus 7, ... קרא עוד , ארגזי החול באנדרואיד היו חלשים יחסית, ויש כמה ניצולים ידועים שניתן להשתמש בהם כדי לעקוף אותה. זה ממש קריטי שהיצרנים יפרסמו תיקון מתאים לנושא זה.
מה אתה יכול לעשות?
לרוע המזל, יצרני חומרה יכולים להיות איטיים להפליא סוגים אלה של תיקוני אבטחה קריטיים. בהחלט כדאי ליצור קשר עם מחלקת התמיכה בלקוחות של יצרן המכשירים ולבקש הערכה מתי יתאימו תיקונים. לחץ ציבורי ככל הנראה יעזור להאיץ את העניינים.
מצדו של דרייק הוא מתכנן לחשוף את מלוא הממצאים שלו ב- DEFCON, ועידת ביטחון בינלאומית שמתקיימת בתחילת אוגוסט. יש לקוות כי הפרסום הנוסף ידרבן את יצרני המכשירים לשחרר עדכונים במהירות, כעת כשההתקפה היא ידוע נפוץ.
בנימה רחבה יותר, זו דוגמא טובה לכך שהתפוצצות אנדרואיד היא סיוט ביטחוני כזה.
שוב זה אסון # אנדרואיד העדכונים נמצאים בידי יצרני החומרה. צריך לפגוע באנדרואיד ברצינות. #פחד במה
מייק? (@mipesom) 27 ביולי 2015
במערכת אקולוגית סגורה כמו iOS, תיקון זה יכול להיות ממהר לצאת תוך שעות. באנדרואיד זה עשוי לקחת חודשים או שנים עד שכל מכשיר יהיה מהיר יותר בגלל רמת הפיצול העצומה. מעניין אותי לראות אילו פתרונות גוגל מציגה בשנים הקרובות כדי להוציא את העדכונים החיוניים לאבטחה מידי יצרני המכשירים.
האם אתה משתמש אנדרואיד מושפע מבעיה זו? מודאגים מפרטיותך? ספר לנו את מחשבותיך בתגובות!
אשראי תמונה: מקלדת עם תאורה אחורית מאת ויקימדיה
אנדר מוביל להישאר פונקציונלי עד 50 מעלות צלזיוס, הוא סופר ועיתונאי שבסיסו בדרום מערב. הוא אטום למים בעומק של מטר וחצי.
