Stagefright upublicznione: szykujmy się na katastrofę w świecie Androida

Stagefright upublicznione: szykujmy się na katastrofę w świecie Androida10.09.2015 12:30
Redakcja

Koniec lipca oznaczał nie tylko premierę Windows 10, ale także informacje o jak dotąd największej i najpoważniejszej luce w systemie Android, Stagefright. Okazało się, że w przypadku 950 milionów telefonów wystarczy jeden spreparowany MMS, aby ktoś przejął nad nimi kontrolę. Teraz informacje o zagrożeniu zostały upublicznione, co może być początkiem ciężkich czasów użytkowników tego systemu.

Lukę odkryła firma Zimperium, która zajmuje się bezpieczeństwem sektora mobilnego. Jak się okazało, wystarczy, że napastnik stworzy odpowiednio spreparowany MMS i wyśle go do ofiary. Ta niczego nieświadoma nie musi go nawet otwierać, aby dać przestępcy dostęp do swojego urządzenia, pozwalając na szpiegowanie, wykradanie danych, a nawet ich niszczenie. Luka okazała się prawdziwą katastrofą, bo zagraża łącznie 950 milionom urządzeń. Jej ujawnienie doprowadziło do zmiany polityki aktualizacyjnej niektórych firm, ale problemu to nie rozwiązuje. Ten natomiast narasta.

Odkrywcy jeszcze w kwietniu i maju przekazali informacje o zagrożeniu firmie Google, a także Mozilli. Szczegóły były utajnione, aby przygotować poprawkę i nie narażać użytkowników na niebezpieczeństwo. Twórcy Androida pracowali nad rozwiązaniem przez kilka miesięcy, dostarczyli aktualizacje do linii Nexus i zainteresowanych producentów, ale to wciąż za mało: teraz Zimperium pokazało szczegóły, a także działającego exploita wykorzystującego lukę Stagefright. Co więcej, okazało się, że dotychczasowe działania Google były nieskuteczne i lukę wciąż da się wykorzystać przy pomocy spreparowanego pliku MP4 np. na Nexusie 5 z zainstalowanymi wszystkimi dostępnymi aktualizacjami. Zaznaczmy natomiast, że pierwotnie planowano pokazać to wszystko na konferencji BlackHat 2015, niemniej odkrywcy wstrzymali się z publikacją właśnie ze względu na przygotowywane poprawki.

Co prawda Google wydało zaktualizowaną wersję Hangouts i aplikacji Messenger, które już automatycznie nie przetwarzają MMS-ów, ale pracownicy Zimperium skomentowali to krytycznie: to tylko jeden z wielu sposobów na wykorzystanie tej luki, nie ma więc mowy o bezpieczeństwie. Dodajmy do tego fakt, iż przecież nie każdy wykorzystuje wspomniane aplikacje do obsługi wiadomości. Oczywiście odnalezienie luki spowodowało ruszenie wielkiej machiny: Google zapowiedziało cykliczne, comiesięczne aktualizacje dla Nexusów. Podobną drogę obrał także Samsung. Niedługo potem chęć łatania swoich urządzeń zaznaczyło również LG i Motorola, wszystko oczywiście po to, aby użytkownicy mogli czuć się bezpieczni.

Czy jest tak w istocie? Przytakiwanie byłoby okłamywaniem samego siebie: większość smartfonów z Androidem żadnych aktualizacji nie otrzyma, podobnie zresztą jak w przypadku dziurawego komponentu WebView. Wszystkiemu winny jest sposób aktualizacji i dystrybucji tego systemu, który daje za dużą kontrolę producentom i operatorom komórkowym. Teraz informacje o luce są publicznie dostępne, wykorzystać może je każdy, a więc powinniśmy szykować się na zmasowane ataki wymierzone w miliony użytkowników i przeprowadzane na najróżniejsze sposoby. Google może przygotować odpowiednie poprawki, ale te dostaną tylko urządzenia z serii Nexus i niektóre flagowe modele. Reszta o wsparciu może zapomnieć, te skończyło się w momencie, gdy sprzęt trafił na półkę sklepową.

Jest jeszcze za wcześnie, aby mówić o długofalowych skutkach znalezienia luki Stagefright. Przyszłość nie zapowiada się jednak różowo. Sposób aktualizacji Androida kiedyś musiał doprowadzić do katastrofy i możliwe, że właśnie znajdujemy się na jej progu. To nie Windows Phone, gdzie Microsoft realnie decyduje o dostarczaniu poprawek bezpieczeństwa. Miejmy jednak nadzieję, że sytuacja ta się zmieni i Google wypracuje taki model aktualizacji, który nie będzie stanowił zagrożenia dla użytkowników Androida.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na