Stagefright upublicznione: szykujmy się na katastrofę w świecie Androida

Stagefright upublicznione: szykujmy się na katastrofę w świecie Androida

Stagefright upublicznione: szykujmy się na katastrofę w świecie Androida
Redakcja
10.09.2015 12:30, aktualizacja: 10.09.2015 12:48

Koniec lipca oznaczał nie tylko premierę Windows 10, ale także informacje o jak dotąd największej i najpoważniejszej luce w systemie Android, Stagefright. Okazało się, że w przypadku 950 milionów telefonów wystarczy jeden spreparowany MMS, aby ktoś przejął nad nimi kontrolę. Teraz informacje o zagrożeniu zostały upublicznione, co może być początkiem ciężkich czasów użytkowników tego systemu.

Lukę odkryła firma Zimperium, która zajmuje się bezpieczeństwem sektora mobilnego. Jak się okazało, wystarczy, że napastnik stworzy odpowiednio spreparowany MMS i wyśle go do ofiary. Ta niczego nieświadoma nie musi go nawet otwierać, aby dać przestępcy dostęp do swojego urządzenia, pozwalając na szpiegowanie, wykradanie danych, a nawet ich niszczenie. Luka okazała się prawdziwą katastrofą, bo zagraża łącznie 950 milionom urządzeń. Jej ujawnienie doprowadziło do zmiany polityki aktualizacyjnej niektórych firm, ale problemu to nie rozwiązuje. Ten natomiast narasta.

Odkrywcy jeszcze w kwietniu i maju przekazali informacje o zagrożeniu firmie Google, a także Mozilli. Szczegóły były utajnione, aby przygotować poprawkę i nie narażać użytkowników na niebezpieczeństwo. Twórcy Androida pracowali nad rozwiązaniem przez kilka miesięcy, dostarczyli aktualizacje do linii Nexus i zainteresowanych producentów, ale to wciąż za mało: teraz Zimperium pokazało szczegóły, a także działającego exploita wykorzystującego lukę Stagefright. Co więcej, okazało się, że dotychczasowe działania Google były nieskuteczne i lukę wciąż da się wykorzystać przy pomocy spreparowanego pliku MP4 np. na Nexusie 5 z zainstalowanymi wszystkimi dostępnymi aktualizacjami. Zaznaczmy natomiast, że pierwotnie planowano pokazać to wszystko na konferencji BlackHat 2015, niemniej odkrywcy wstrzymali się z publikacją właśnie ze względu na przygotowywane poprawki.

Obraz

Co prawda Google wydało zaktualizowaną wersję Hangouts i aplikacji Messenger, które już automatycznie nie przetwarzają MMS-ów, ale pracownicy Zimperium skomentowali to krytycznie: to tylko jeden z wielu sposobów na wykorzystanie tej luki, nie ma więc mowy o bezpieczeństwie. Dodajmy do tego fakt, iż przecież nie każdy wykorzystuje wspomniane aplikacje do obsługi wiadomości. Oczywiście odnalezienie luki spowodowało ruszenie wielkiej machiny: Google zapowiedziało cykliczne, comiesięczne aktualizacje dla Nexusów. Podobną drogę obrał także Samsung. Niedługo potem chęć łatania swoich urządzeń zaznaczyło również LG i Motorola, wszystko oczywiście po to, aby użytkownicy mogli czuć się bezpieczni.

Czy jest tak w istocie? Przytakiwanie byłoby okłamywaniem samego siebie: większość smartfonów z Androidem żadnych aktualizacji nie otrzyma, podobnie zresztą jak w przypadku dziurawego komponentu WebView. Wszystkiemu winny jest sposób aktualizacji i dystrybucji tego systemu, który daje za dużą kontrolę producentom i operatorom komórkowym. Teraz informacje o luce są publicznie dostępne, wykorzystać może je każdy, a więc powinniśmy szykować się na zmasowane ataki wymierzone w miliony użytkowników i przeprowadzane na najróżniejsze sposoby. Google może przygotować odpowiednie poprawki, ale te dostaną tylko urządzenia z serii Nexus i niektóre flagowe modele. Reszta o wsparciu może zapomnieć, te skończyło się w momencie, gdy sprzęt trafił na półkę sklepową.

Jest jeszcze za wcześnie, aby mówić o długofalowych skutkach znalezienia luki Stagefright. Przyszłość nie zapowiada się jednak różowo. Sposób aktualizacji Androida kiedyś musiał doprowadzić do katastrofy i możliwe, że właśnie znajdujemy się na jej progu. To nie Windows Phone, gdzie Microsoft realnie decyduje o dostarczaniu poprawek bezpieczeństwa. Miejmy jednak nadzieję, że sytuacja ta się zmieni i Google wypracuje taki model aktualizacji, który nie będzie stanowił zagrożenia dla użytkowników Androida.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (84)