Det ser ut til at Stagefright slår igjen.
Sikkerhetsfeilen som preyed på telefoner som kjører versjoner av Android OS mellom 2,2 og 4, har nå vokst på hodet for å angripe enheter som kjører Android 5.0 og nyere.
Joshua J. Drake, Zimperium zLabs visepresident for forskning, har funnet et annet sikkerhetsproblem i Android kalt Stagefright 2.0. Drake hevder at det er to sårbarheter som kan skje ved behandling av spesiallagde MP3-lyd- og MP4-videofiler.
$config[code] not foundTilsynelatende er det i MP3 og MP4-filer en funksjon som tillater ekstern kjøring av kode (RCE). Dette innebærer i utgangspunktet at infiserte MP3- og MP4-filer kan gi noen tilgang til å kjøre en oppgave på Android-telefonen din. Selv ved å forhåndsvise en ondsinnet sang eller video kan du sette telefonen i fare.
Drake sier i sin bloggpost at den mest sårbare tilnærmingen til en Android-telefon er gjennom en nettleser, og på tre forskjellige måter kan en hacker utnytte sikkerhetsbuggen.
For det første kan en angriper prøve å få en Android-bruker til å besøke en nettadresse som virkelig vil føre til en angriperstyrt nettside. Dette kan gjøres i form av en annonsekampanje, for eksempel. Når det er lokket inn, vil offeret bli utsatt for den infiserte MP3- eller MP4-filen.
På samme linje kan en angriper bruke en tredjepartsprogram, som en mediespiller. I dette tilfellet er det appen som vil inneholde en av disse skadelige filene.
Men det er en tredje mulighet hvor en hacker kunne ta en annen rute.
Si, hacker og Android bruker bruker samme WiFi. Hackeren ville ikke trenge å lure brukeren til å besøke en nettadresse eller åpne en tredjepartsprogram. I stedet ville alt de måtte gjøre, være å injisere utnyttelsen i brukerens ukrypterte nettverkstrafikk som brukes av nettleseren.
Den originale Stagefright bug - som også ble oppdaget av Drake tidligere i år - åpnet Android-telefoner for sikkerhetsproblemet gjennom tekstmeldinger som inneholder skadelig programvare.
Hvis en hacker kjente telefonnummeret ditt, kan du sende en tekstmelding med en skadelig multimediefil. Teksten kan da tillate hacker tilgang til brukerens data og bilder, eller til og med gi tilgang til funksjoner som telefonens kamera eller mikrofon.
Brukere kan bli påvirket og ikke engang kjenner det.
En patch ble utgitt for den opprinnelige Stagefright-feilen, ikke for lenge etter at sårbarheten ble oppdaget.Det har imidlertid vært noen problemer med oppdateringen. Noen rapporter har indikert at oppdateringen kan føre til at telefoner krasjer i noen tilfeller når en multimediemelding åpnes.
Drake sier at han har varslet Android av trusselen og oppgitt Android flyttet raskt for å rette opp, selv om de ennå ikke har oppgitt et CVE-nummer for å spore dette siste problemet. Google inkluderer en løsning for Stagefright i Nexus Security Bulletin som kommer ut denne uken.
Hvis du er usikker på om Android-enheten din er sårbar, kan du laste ned Zimperium Inc. Stagefright Detector-appen for å sjekke sårbarheter.
Android Lollipop Photo via Shutterstock
Mer i: Google 2 kommentarer ▼
