Android ima masivnu sigurnosnu grešku u komponenti poznatoj pod nazivom "Stagefright". Samo primanje zlonamjerne MMS poruke može dovesti do ugrožavanja vašeg telefona. To je iznenađujuće da nismo vidjeli crv koji se širi od telefona do telefona kao što su crvi učinili u ranim Windows XP danima - svi su sastojci ovdje.
To je zapravo nešto gore nego što zvuči. Mediji su se uglavnom usredotočili na metodu napada MMS-a, no čak i MP4 videozapisi ugrađeni u web stranice ili aplikacije mogu ugroziti vaš telefon ili tablet.
Neki su komentatori nazvali ovaj napad "Stagefright", ali to je zapravo napad na komponentu u Androidu pod imenom Stagefright. Ovo je komponenta za multimedijski player u Androidu. To je ranjivost koja se može iskoristiti - najopasnije preko MMS-a, koji je tekstualna poruka s ugrađenim multimedijalnim komponentama.
Mnogi proizvođači telefona s Androidom neželjeno su odlučili dati dozvolu Stagefright sustava, što je korak od korijenskog pristupa. Iskorištavanje Stagefrighta omogućuje napadaču pokretanje arbtirijskog koda s dopuštenjima "medija" ili "sustava", ovisno o tome kako je uređaj konfiguriran. Dozvole sustava omogućuju da napadač u potpunosti završi acess na svojem uređaju. Zimperium, organizacija koja je otkrila i izvijestila o problemu, nudi više pojedinosti.
Uobičajene aplikacije za slanje SMS poruka Android automatski preuzimaju dolazne MMS poruke. To znači da bi vam netko mogao poslati poruku putem telefonske mreže. S vašim telefonom ugrožen, crv koji koristi ovu ranjivost mogao je pročitati vaše kontakte i slati zlonamjerne MMS poruke vašim kontaktima, šireći se poput požara poput virusa Melissa 1999. godine koristeći Outlook i kontakte e-pošte.
Početna izvješća bila su usredotočena na MMS, jer je to bio najpotentniji opasni vektor Stagefright koji bi mogao iskoristiti. Ali to nije samo MMS. Kao što je naglasio Trend Micro, ova je ranjivost u komponenti "medijski poslužitelj", a zlonamjerna datoteka MP4 ugrađena na web stranicu mogla bi ga iskoristiti - da, samo ako krenete na web stranicu web preglednika. MP4 datoteka ugrađena u aplikaciju koja želi iskoristiti vaš uređaj može učiniti isto.
Vaš Android uređaj vjerojatno je ranjiv. Devedeset pet posto Android uređaja u divljini su ranjive na Stagefright.
Da biste sigurno provjerili, instalirajte aplikaciju Stagefright Detector s usluge Google Play. Ovu aplikaciju napravio je Zimperium, koji je otkrio i prijavio ranjivost Stagefright. Provjerit će vaš uređaj i reći je li Stagefright zakrpao na vašem Android telefonu ili ne.
Koliko nam je poznato, Androidove antivirusne aplikacije neće vas spasiti od napada Stagefrighta. Oni ne moraju nužno imati dovoljno ovlasti sustava za presresti MMS poruke i ometati komponente sustava. Google također ne može ažurirati komponentu usluge Google Play na Androidu kako bi popravio ovaj bug, rješenje za patchwork koji se često koristi kada se pojavljuju sigurnosni otvori.
Da biste se spriječili da se ugroženi, morate izbjegavati preuzimanje i pokretanje MMS poruka aplikaciji za razmjenu poruka. Općenito, to znači da onemogućuje postavku "MMS automatsko pronalaženje" u svojim postavkama. Kada primite MMS poruku, ona se neće automatski preuzeti - morat ćete je preuzeti tako da dodirnete rezervirano mjesto ili nešto slično. Nećete biti u opasnosti ako ne odaberete preuzimanje MMS-a.
Ne biste to trebali učiniti. Ako je MMS od nekoga koga ne poznajete, zanemarite ga. Ako je MMS poruka od prijatelja, moguće je da je njihov telefon ugrožen ako se crv počne skinuti. Najsigurnije je nikada preuzeti MMS poruke ako je vaš telefon ranjiv.
Da biste onemogućili automatsko dohvaćanje MMS poruke, slijedite odgovarajuće korake za aplikaciju za razmjenu poruka.
Nemoguće je ovdje napraviti cjeloviti popis. Jednostavno otvorite aplikaciju koju koristite za slanje SMS poruka (SMS poruke) i potražite opciju koja će onemogućiti "automatsko preuzimanje" ili "automatsko preuzimanje" MMS poruka.
Upozorenje: Ako odlučite preuzeti MMS poruku, još uvijek ste ranjivi. I, kako ranjivost Stagefright nije samo problem s MMS porukom, to vas neće u potpunosti zaštititi od svih vrsta napada.
Umjesto da pokušavate raditi oko bugova, bilo bi bolje da je vaš telefon upravo primio ažuriranje koje ju je popravilo. Nažalost, ažuriranje Android ažuriranja trenutačno je noćna mora. Ako imate nedavno najbliži telefon, vjerojatno možete očekivati nadogradnju u nekom trenutku - nadamo se. Ako imate stariji telefon, pogotovo niži telefon, postoji dobra šansa da nikada ne dobijete ažuriranje.
Google je također rekao Ars Technici da će "najomiljeniji Android uređaji" dobiti ažuriranje u kolovozu, uključujući:
Motorola je također najavio da će u kolovozu zakrpati telefone s ažuriranjima, uključujući Moto X (1. i 2. generacija), Moto X Pro, Moto Maxx / Turbo, Moto G (1., 2. i 3. generacija), Moto G s 4G LTE (1. i 2. generacija), Moto E (1. i 2. generacija), Moto E s 4G LTE (druga generacija), DROID Turbo i DROID Ultra / Mini / Maxx.
Google Nexus, Samsung i LG su se obvezali ažurirati svoje telefone sa sigurnosnim ažuriranjima jednom mjesečno. Međutim, ovo obećanje zaista vrijedi samo za vodeće telefone i zahtijevat će da prijevoznici surađuju. Nije jasno koliko će to dobro riješiti. Prijenosnici bi mogli potrajati na putu ovih ažuriranja, a to i dalje ostavlja veliki broj - tisuće različitih modela - telefona koji se upotrebljavaju bez ažuriranja.
CyanogenMod je prilagođena ROM ROM-a treće strane koju često koriste entuzijasti. Donosi trenutačnu verziju Androida na uređaje koje su proizvođači prestali podržavati. To zapravo nije idealno rješenje za prosječnu osobu jer zahtijeva otključavanje pokretača sustava vašeg telefona. No, ako je vaš telefon podržan, možete upotrijebiti ovaj trik da biste dobili trenutačnu verziju Androida uz trenutačna sigurnosna ažuriranja. Nije loša ideja za instalaciju CyanogenMod ako vaš proizvođač više ne podržava vaš telefon.
CyanogenMod je fiksirala ranjivost Stagefright u noćnim verzijama, a popravak bi trebao biti uskoro dostupan na stabilnoj verziji putem OTA ažuriranja.
To je samo jedan od mnogih sigurnosnih rupa na starim Android uređajima, nažalost. To je samo osobito loše što privlači više pozornosti. Većina Android uređaja - svi uređaji s Androidom 4.3 i starijima - imaju, na primjer, ranjivu komponentu web preglednika. To nikad neće biti zakrpan ako uređaji ne budu nadograđeni na noviju verziju Androida. Možete se zaštititi protiv njega tako da pokrenete Chrome ili Firefox, ali taj ranjivi preglednik zauvijek će biti na tim uređajima sve dok ne budu zamijenjeni. Proizvođači nisu zainteresirani za njihovo ažuriranje i održavanje, zbog čega se toliko ljudi okrenulo CyanogenModu.
Google, proizvođači uređaja sa sustavom Android i mobilni operateri trebaju dobiti svoj redoslijed jer je trenutačna metoda ažuriranja - ili bolje, ne ažuriranje - Android uređaji dovode do ekosustava Androida s uređajima koji s vremenom stvaraju rupe. Zato su iPhone sigurniji od Android telefona - iPhone zapravo dobiva sigurnosna ažuriranja. Apple se obvezao na ažuriranje iPhona dulje od Googlea (samo za Nexus telefone), Samsung i LG surađuju na nadogradnju svojih telefona.
Vjerojatno ste čuli da je korištenje sustava Windows XP opasno jer se više ne ažurira. XP će nastaviti izgraditi sigurnosne rupe tijekom vremena i postati sve ranjivija. Pa, upotreba većine Android telefona jednaka je i za njih ne primaju ni sigurnosna ažuriranja.
Neki iskorištavaju ublažavanja mogu spriječiti Stagefright crv iz preuzimanja milijuna Android telefona. Google tvrdi da ASLR i druge zaštite na novijim verzijama Androida pomažu spriječiti napadanje Stagefrighta, što čini djelomično istinito.
Čini se da neki stanični nosači blokiraju potencijalno zlonamjernu MMS poruku na svom kraju, sprečavajući im da nikada dospiju na ranjive telefone. To bi spriječilo širenje crva putem MMS poruka, barem na prijevoznicima koji poduzimaju radnje.
Slika: Matteo Doni na Flickr
