osvobozující se android

Zranitelnost Stagefright pro Android

Když bezpečnostní expert Joshua Drake uveřejnil nalezenou zranitelnost v operačním systému Adroid, média ihned začala mluvit o nejhorší nalezené zranitelnosti. Je to pravda nebo jde jen o nafouknutou bublinu?
Total
0
Sdílení

Nejprve si pojďme vysvětlit, jak lze nalezenou zranitelnost vlastně zneužít. V bohatém zdrojovém kódu systému Adroid se mimo jiné nalézá také knihovna Stagefright, které umožňuje přehrávat videa a hudbu na Android zařízeních. V té Joshua Drake našel zranitelnost. Útočníkovi k úspěšnému infikování zařízení stačí speciálně upravit MMS zprávu a odeslat ji na zařízení. Jinými slovy mu stačí znát pouze vaše telefonní číslo. V závislosti na nastavení systému a na tom, zda používáte Hangouts nebo jiného správce SMS/MMS, se zařízení nakazí ihned, nebo po manuální prohlédnutí MMS zprávy. Útočník poté může například ukrást citlivá data uživatele. Podobným způsobem může útočník zneužít i mp4 video vložené do webové stránky.

statistika používání verzí androidů

Zranitelnost obsahují všechny verze OS Android od verze 2.2 (Froyo), což v číslech znamená 950 miliónů zařízení po celém světě. Google sice jistě opravný patch vydá, ale vzhledem k tomu, že ne všichni výrobci jsou v aktualizacích OS aktivní, dá se předpokládat, že zranitelnost Stagefright s námi bude ještě velmi dlouho. Paradoxně v současné době obsahuje opravný patch pouze populární neoficiální ROMka Cyanogenmod.

Sečteno podtrženo o nafouknutou bublinu rozhodně nejde, a pokud by vznikl škodlivý kód na bázi zranitelnosti Stagefright, zcela jistě by napáchal velké škody. Bez opravného patche se můžete prozatím bránit pouze pasivně a to zapnutím automatických aktualizací systému, nepřijímáním MMS zprávy z neznámých čísel, vypnutím automatického načítání MMS zpráv a používáním prohlížeče, který danou zranitelnost neobsahuje (např. firefox 38+).

Společnost ESET vydala aplikaci ESET Stagefright Detector, pomocí které si můžete zkontrolovat, zda vaše zařízení zranitelnost obsahuje či nikoli. Stáhnout ji můžete přímo z GooglePlay.

Mohlo by vás zajímat

Pozor na falešné módy k populární hře Minecraft

Hráči populární hry Minecraft se mohli na Google Play setkat s podvodnými aplikacemi. Konkrétně šlo o 87 falešných herních módů, které je možné rozdělit do dvou kategorií – v první kategorii jde o downloader zobrazující reklamy, který ESET detekuje jako Android/TrojanDownloader.Agent.JL. Ve druhé jsou podvodné aplikace, které uživatele přesměrují na podvržené webové stránky a jsou detekovány jako Android/FakeApp.FG.
Přečíst článek