Androidilla on massiivinen tietoturvaohjelma komponentissa, joka tunnetaan nimellä "Stagefright". Vastaanottaessa haitallista MMS-viestiä puhelimesi vaarantuu. On yllättävää, ettemme ole nähneet matoja, jotka levittäytyivät puhelimesta puhelimeen, kuten matoilla aikaisin Windows XP -päivinä - kaikki ainesosat ovat täällä.
Se on itse asiassa hieman huonompi kuin se kuulostaa. Media on pääosin keskittynyt MMS-hyökkäysmenetelmään, mutta jopa verkkosivuihin tai sovelluksiin upotetut MP4-videot voivat vaarantaa puhelimesi tai tablet-laitteesi.
Jotkut kommentaattorit ovat kutsuneet tätä hyökkäystä "Stagefright", mutta se on itse asiassa hyökkäys Android-laitteelle nimeltä Stagefright. Tämä on Android-multimediasoittimen komponentti. Se on haavoittuvuus, jota voidaan hyödyntää - kaikkein vaarallisimmin MMS-viestin kautta, joka on tekstiviesti, jossa on upotettuja multimediakomponentteja.
Monet Android-puhelimen valmistajat ovat haluttomasti päättäneet antaa Stagefright-järjestelmän käyttöoikeudet, joka on yksi askel alhaisempaan kuin pääkäyttäjän. Stagefrightin käyttämisen avulla hyökkääjä voi käyttää arbtirary-koodia joko "media" tai "system" -oikeuksilla, riippuen siitä, miten laite on määritetty. Järjestelmän käyttöoikeudet antaisivat hyökkääjälle periaatteessa täydellisen pääsyn laitteeseen. Zimperium, organisaatio, joka löysi ja ilmoittanut ongelman, tarjoaa lisätietoja.
Tyypilliset Android-tekstiviestisovellukset hakevat automaattisesti tulevat MMS-viestit. Tämä tarkoittaa sitä, että joku lähettää sinulle viestin puhelinverkossa. Kun puhelimesi on vaarantunut, tämän haavoittuvuuden omaava mado voisi lukea yhteystietojasi ja lähettää haittaohjelmia MMS-viestejä yhteystietoihisi, jotka levittäytyvät palovammaisesti kuten Melissa-virus teki vuonna 1999 Outlookin ja sähköpostiyhteystietojen avulla.
Ensimmäiset raportit keskittyivät MMS: ään, koska se oli potentiaalisesti vaarallinen vektori Stagefright. Mutta se ei ole vain MMS. Kuten Trend Micro huomautti, tämä haavoittuvuus on "mediaserver" -komponentissa ja haitallinen MP4-tiedosto, joka on upotettu web-sivulle, voi hyödyntää sitä - kyllä, vain siirtymällä verkkoselaimeen selaimessa. MP4-tiedosto, joka on upotettu sovellukseen, joka haluaa hyödyntää laitetta, voisi tehdä samoin.
Android-laite on todennäköisesti heikossa. Yhdeksänkymmentäviisi prosenttia Android-laitteesta luonnossa on haavoittuva Stagefrightille.
Jos haluat tarkistaa, asenna Stagefright Detector -sovellus Google Playsta. Tämä sovellus teki Zimperium, joka löysi ja raportoi Stagefright-haavoittuvuuden. Se tarkistaa laitteesi ja kertoo, onko Stagefright on patched Android-puhelimesi vai ei.
Tiedämme, että Android-virustorjuntasovellukset eivät säästä sinua Stagefright-hyökkäyksiltä. Heillä ei välttämättä ole tarpeeksi järjestelmän käyttöoikeuksia MMS-viestien lukitsemiseen ja häiritsemiseen järjestelmän osien kanssa. Google ei myöskään voi päivittää Androidin Google Play Services -komponenttia korjatakseen tämän vian, joka on Google-korjausratkaisu, jota käytetään usein, kun tietoturva-aukot näkyvät.
Jotta voit estää itsesi vaarantumasta, sinun on estettävä lähettämäsi viestintäsovellus lataamasta ja käynnistettäväksi MMS-viestejä. Yleensä tämä tarkoittaa, että "MMS-automaattinen nouto" -asetus poistetaan käytöstä asetuksissaan. Kun saat MMS-viestin, se ei lataudu automaattisesti - sinun on ladattava se napauttamalla paikkamerkkiä tai jotain vastaavaa. Et ole vaarassa, ellei valinnut MMS: n lataamista.
Sinun ei pitäisi tehdä tätä. Jos multimediaviesti on peräisin joltakulta, jota et tiedä, varmasti jättää se huomiotta. Jos multimediaviesti on ystävästä, olisi mahdollista, että puhelin on vaarassa, jos mato alkaa nousta. On turvallista koskaan ladata MMS-viestejä, jos puhelin on heikossa asemassa.
Jos haluat poistaa MMS-viestin automaattisen noutamisen käytöstä, noudata viestinvälitysohjelmaan sopivia ohjeita.
Täydellinen luettelo on mahdotonta rakentaa täällä. Avaa vain sovellus, jota käytät tekstiviestien lähettämiseen (tekstiviestejä) ja etsi vaihtoehtoa, joka poistaa MMS-viestien automaattisen noutamisen tai automaattisen latauksen käytöstä.
Varoitus: Jos päätät ladata MMS-viestin, olet edelleen haavoittuva. Koska Stagefright-haavoittuvuus ei ole vain MMS-viestien ongelma, se ei suojaa sinua kaikilta hyökkäyksiltä.
Sen sijaan, että yrität kiertää bugia, olisi parempi, jos puhelimesi juuri sai päivityksen, joka korjasi sen. Valitettavasti Android-päivitystilanne on tällä hetkellä painajainen. Jos sinulla on viimeinen lippulaiva-puhelin, voit todennäköisesti odottaa päivitystä jossain vaiheessa - toivottavasti. Jos sinulla on vanhempi puhelin, etenkin alempi puhelin, on hyvä mahdollisuus, ettet saa koskaan päivitystä.
Google kertoi myös Ars Technicaille, että "suosituimmat Android-laitteet" saavat päivityksen elokuussa, mukaan lukien:
Motorola on myös ilmoittanut, että se korjaa puhelimet elokuussa alkavilla päivityksillä, mukaan lukien Moto X (1. ja 2. sukupolvi), Moto X Pro, Moto Maxx / Turbo, Moto G (1., 2. ja 3. sukupolvi), Moto G 4G LTE (1. ja 2. sukupolvi), Moto E (1. ja 2. sukupolvi), Moto E 4G LTE (2. sukupolvi), DROID Turbo ja DROID Ultra / Mini / Maxx.
Google Nexus, Samsung ja LG ovat sitoutuneet päivittämään puhelimet tietoturvapäivityksiin kerran kuukaudessa. Tämä lupaus koskee kuitenkin vain todella lippulaiva-puhelimia, ja se edellyttäisi operaattoreiden yhteistyötä. On epäselvää, kuinka hyvin tämä toimisi. Liikenteenharjoittajat voisivat mahdollisesti pysyä näiden päivitysten tapaan, ja tämä jättää edelleen suuren määrän - tuhansia eri malleja - käytönaikaisista puhelimista ilman päivitystä.
CyanogenMod on kolmannen osapuolen mukautetun ROM-versio, jota harrastajat käyttävät usein. Se tuo Androidin nykyisen version laitteisiin, joiden valmistajat ovat lakanneet tukemaan. Tämä ei todellakaan ole ihanteellinen ratkaisu keskivertokansalle, koska se vaatii puhelimen käynnistyslatauksen avaamisen. Mutta jos puhelimesi on tuettu, voit käyttää tätä temppua hankkimaan Android-version nykyiset tietoturvapäivitykset. Se ei ole huono idea asentaa CyanogenMod, jos sen valmistajaa ei enää tueta puhelimeesi.
CyanogenMod on korjannut Stagefright-haavoittuvuuden yöohjelmissa, ja korjauksen pitäisi tehdä vakaan version pian OTA-päivityksen kautta.
Tämä on vain yksi monista turvallisuusreikiistä vanhojen Android-laitteiden rakentamisesta, valitettavasti. Se on vain erityisen huono, joka saa enemmän huomiota. Suurin osa Android-laitteista - kaikilla laitteilla, joissa on Android 4.3 ja vanhemmat - on esimerkiksi haavoittuvassa selaimessa. Tämä ei koskaan korjata, elleivät laitteet päivitä uudempaan Android-versiota. Voit auttaa suojautumaan sitä vastaan avaamalla Chrome tai Firefox, mutta tämä haavoittuva selain tulee ikuisesti kyseisiin laitteisiin, kunnes ne korvataan. Valmistajat eivät ole kiinnostuneita päivittämisestä ja ylläpitämisestä, mistä syystä monet ihmiset ovat siirtyneet CyanogenModiin.
Google, Android-laitevalmistajat ja matkapuhelinoperaattorit tarvitsevat toimintansa, koska nykyinen päivitysmenetelmä - tai pikemminkin päivitys ei ole - Android-laitteet johtavat Android-ekosysteemiin laitteiden kanssa, jotka rakentavat reikiä ajan mittaan. Siksi iPhones ovat turvallisempia kuin Android-puhelimet - iPhones todella saavat tietoturvapäivityksiä. Apple on sitoutunut päivittämään iPhonea kauemmin kuin Googlen (vain Nexus-puhelimet), Samsung ja LG valmistautuvat päivittämään puhelimelleen.
Olet todennäköisesti kuullut, että Windows XP: n käyttö on vaarallista, koska sitä ei enää päivitetä. XP jatkaa tietoturva-aukkojen rakentamista ajan myötä ja muuttuu yhä haavoittuvammaksi. Useimmat Android-puhelimet käyttävät samalla tavalla - he eivät myöskään saa tietoturvapäivityksiä.
Jotkut hyödyntävät lieventämisiä voisivat estää Stagefright-matoa ottamasta miljoonia Android-puhelimia. Google väittää, että ASLR ja muut suojaukset viimeisimmistä Android-versioista auttavat estämään Stagefrightia hyökkäyksiltä, ja tämä näyttää olevan osittain totta.
Jotkut matkapuhelinoperaattorit näyttävät myös estävän mahdollisesti vahingollisen MMS-viestin loppuun, estäen heitä pääsemästä haavoittuviin puhelimiin. Tämä auttaisi estämään matoa leviämästä MMS-viesteillä, ainakin liikenteenharjoittajilla, jotka ryhtyvät toimiin.
Kuvauskurssi: Matteo Doni Flickrissä
