Tereza MalkusováNejprve si pojďme vysvětlit, jak lze nalezenou zranitelnost vlastně zneužít. V bohatém zdrojovém kódu systému Adroid se mimo jiné nalézá také knihovna Stagefright, které umožňuje přehrávat videa a hudbu na Android zařízeních. V té Joshua Drake našel zranitelnost. Útočníkovi k úspěšnému infikování zařízení stačí speciálně upravit MMS zprávu a odeslat ji na zařízení. Jinými slovy mu stačí znát pouze vaše telefonní číslo. V závislosti na nastavení systému a na tom, zda používáte Hangouts nebo jiného správce SMS/MMS, se zařízení nakazí ihned, nebo po manuální prohlédnutí MMS zprávy. Útočník poté může například ukrást citlivá data uživatele. Podobným způsobem může útočník zneužít i mp4 video vložené do webové stránky.
Zranitelnost obsahují všechny verze OS Android od verze 2.2 (Froyo), což v číslech znamená 950 miliónů zařízení po celém světě. Google sice jistě opravný patch vydá, ale vzhledem k tomu, že ne všichni výrobci jsou v aktualizacích OS aktivní, dá se předpokládat, že zranitelnost Stagefright s námi bude ještě velmi dlouho. Paradoxně v současné době obsahuje opravný patch pouze populární neoficiální ROMka Cyanogenmod.
Sečteno podtrženo o nafouknutou bublinu rozhodně nejde, a pokud by vznikl škodlivý kód na bázi zranitelnosti Stagefright, zcela jistě by napáchal velké škody. Bez opravného patche se můžete prozatím bránit pouze pasivně a to zapnutím automatických aktualizací systému, nepřijímáním MMS zprávy z neznámých čísel, vypnutím automatického načítání MMS zpráv a používáním prohlížeče, který danou zranitelnost neobsahuje (např. firefox 38+).
Společnost ESET vydala aplikaci ESET Stagefright Detector, pomocí které si můžete zkontrolovat, zda vaše zařízení zranitelnost obsahuje či nikoli. Stáhnout ji můžete přímo z GooglePlay.
Lucie Mudráková
