Atklāta bīstama ievainojamība „Android” mobilo ierīču lietotājiem
Mobilo iekārtu drošības kompānija "Zimperium" atklājusi nopietnu ievainojamību Android operētājsistēmā. Ievainojamību rada operētājsistēmā iebūvētās mediju atskaņošanas programmatūras "Stagefright" nepilnības, tādēļ ievainojamība pazīstama tieši ar nosaukumu "Stagefright".
Uzbrukums var tikt īstenots, nosūtot multivides ziņojuma pakalpojumu (MMS), kas satur ļaundabīgu kodu. Uzbrucējam pietiek zināt lietotāja telefona numuru, lai pārņemtu kontroli pār izraudzīto iekārtu. Kaitīgās ziņas saņēmējam tā pat nav jāatver, lai nodrošinātu ļaundabīgā koda izpildi. Ļaundabīgais kods izpildās brīdī, kad ziņa nonāk telefonā. Uzbrucējs var nodrošināt, ka šis MMS ziņojums, pēc nonākšanas iekārtā, uzreiz tiek dzēsts, tādejādi upuris nemaz nenojauš, ka ir saņēmis kaitniecisku ziņojumu.
Ievainojamība skar 95% lietošanā esošu Android OS bāzētu iekārtu. Apdraudējums attiecas uz visām iekārtām, kas izmanto Android 2.2 vai jaunāku versiju, bet bīstamāks tas ir iekārtām, kuru operētājsistēma ir vecāka par Android 4.1 (Jelly Bean), jo tajās nav iestrādāta pietiekama uzbrukumu novēršanas sistēma.
Kas jādara Android lietotājiem?
Pagaidām atjauninājumi, kas novērš šo bīstamo ievainojamību, pieejami tikai CyanogenMod, Mozilla un Blackphone. Pārējo iekārtu īpašniekiem rūpīgi jāseko līdzi pieejamajiem atjauninājumiem un jāveic atjaunināšana, tikko tas ir iespējams.
Līdz atjauninājumu saņemšanai ieteicams pārliecināties, ka to aplikāciju iestatījumos, kas automātiski ielādē multivides ziņojumus, kā piemēram, Hangouts, funkcija "automatically retrive MMS messages" ir atslēga.
Otrs būtisks drošības pasākums ir neizpaust savu mobilā telefona numuru publiski, bet darīt to zināmu tikai šauram cilvēku lokam.
Tehniskā informācija
Ievainojamību kopums, kas pazīstams ar nosaukumu "Stagefright":
- CVE-2015-1538
- CVE-2015-1539
- CVE-2015-3824
- CVE-2015-3826
- CVE-2015-3827
- CVE-2015-3828
- CVE-2015-3829
Vairāk informācijas: http://blog.zimperium.com/experts-found-a-unicorn-in-the-heart-of-android/
Informācija sagatavota 29.07.2015.