Ако доставчикът на вашия смартфон или таблет не поправи дупката в сигурността на Stagefright, този зловреден софтуер, базиран на текстови съобщения, може да бъде наистина плашещ. Но можете да се предпазите от него с няколко лесни стъпки.
Честно казано, повечето хора, които получават злонамерен софтуер, искат проблеми. Те отварят подозрителен файл от непознат, отиват на измамен уебсайт или изтеглят филма или играта, които са излезли вчера от BitTorrent. Тогава има Сценична треска. Със зловреден софтуер, базиран на тази дупка в сигурността, всичко, което трябва да направите, е да получите текст на вашето Android устройство без корекция и, бам, вие сте хакнати.
Дупката в сигурността на Stagefright на Android е плашеща, но можете да я избегнете.
Можеш ли да кажеш лоши новини? Знаех си, че можеш.
Zimperium zLabs, вицепрезидент по изследване и експлоатация на платформи, Джошуа Дж. Дрейк, който разкри Stagefright, твърди, че това е сред „най-лошите уязвимости на Android, открити досега“. Той има право.
Прочети това
Заключете го: Google показва системата за предупреждение за проверка на зареждането на Android
Прочетете сегаStagefright задържа устройството ви, като ви го изпраща като мултимедийно текстово съобщение. Например, кратко видео на котенца, които си играят, може да се използва за поставяне на злонамерен софтуер във вашата система.
Наистина подлата част е, че не е нужно да гледате игривите котки. Ако използвате приложението Hangouts на Google, дори не е необходимо да отваряте приложението си за текстови съобщения. Всичко, което нападателят трябва да направи, е да изпрати отровен пакет на вашия телефонен номер. След това отваря вашето устройство и атаката започва. Това може да се случи толкова бързо, че докато телефонът ви предупреди, че е пристигнало съобщение, вече сте били хакнати. Ако, от друга страна, използвате стандартното приложение Messenger на Android, трябва да отворите текстовото съобщение - но не непременно да гледате видеото - за да бъдете хакнати.
Това отвличане на сигурността работи, като се възползва от вграденото в Android Медийна библиотека Stagefright. Тази машина за възпроизвеждане на мултимедия се предлага със софтуерно базирани кодеци за няколко популярни медийни формата и се използва за възпроизвеждане на аудио и видео. Неговата дупка в сигурността изглежда е, че за да намали времето за забавяне при гледане на видео, Stagefright автоматично обработва видеото, преди дори да си помислите да го гледате. Drake ще разкрие пълните подробности за това как Stagefright работи в Black Hat в началото на август.
Междувременно Zimperium информира Google за проблема през април. Според Drakem „Google действа незабавно и приложи корекциите към вътрешни кодови клонове в рамките на 48 часа.“
Говорител на Google добави в имейл отговор, че „Сигурността на потребителите на Android е изключително важна нас, така че вече реагирахме бързо на този проблем, като изпратихме корекцията за всички устройства с Android на нашите партньори."
Тя добави:
- Сигурността е вградена в Android: приложенията за Android се изпълняват в това, което наричаме „Sandbox на приложения“. Точно като стените на пясъчник предпазете пясъка от излизане, всяко приложение се помещава във виртуална "пясъчна кутия", за да го предпазите от достъп до нещо извън себе си, което означава, че дори ако потребител случайно инсталира зловреден софтуер, му е забранен достъпът до други части на устройство.
- Отворената екосистема подобрява сигурността и прави Android по-силен: Android е с отворен код. Това означава, че всеки може да го прегледа, за да разбере как работи и да идентифицира потенциални рискове за сигурността. Всеки може да провежда проучвания и също така да дава принос за подобряване на сигурността на Android.
- Google насърчава изследванията за сигурност: The Програма за награди за сигурност на Android, стартирана през 2015 г., и програмата Google Patch Rewards, стартирана през 2014 г., възнаграждава приноса на изследователи по сигурността, които инвестират времето и усилията си, за да направят Android по-сигурен.
И така, с всичко това, какъв е врявата? Да, това наистина е лоша дупка в сигурността, но поправката е в... не е ли
Ами относно това, виждате, че Android има друг по-голям проблем със сигурността. С изключение на устройствата Nexus, Google предоставя корекции за изходния код на Android, но това зависи от доставчиците на смартфони и производителите на оригинално оборудване (OEM), за да го изпратят на потребителите с актуализиран фърмуер. Към 27 юли нито един от основните OEM производители или оператори на Android не е обявил планове за доставка на корекцията. При много по-стари устройства корекциите може никога да не бъдат доставени.
Представено
- Дали Windows 10 е твърде популярен за собственото си добро?
- 5 начина да намерите най-доброто място да започнете кариерата си
- Ето как генеративният AI ще промени икономиката на концертите към по-добро
- 3 причини, поради които предпочитам този Android за $300 пред Pixel 6a на Google
Според Zimperium, Blackphone на SilentCircle е защитен срещу тази атака от PrivatOS версия 1.1.7. Firefox на Mozilla също включва корекция за този проблем от версия 38. И, разбира се, Zimperium предлага собствена защита от атаки на Stagefright със своята платформа за защита от мобилни заплахи, zIPS,
Това, което Zimperium не споменава, е, че Android вече има отличен начин за блокиране на повечето атаки на Stagefright: Блокирайте всички текстови съобщения от неизвестни податели.
За да направите това с Android Kitkat, най-популярната версия на Android, отваряте приложението Messenger и докосвате в менюто в горния десен ъгъл на екрана (трите вертикални точки) и след това натиснете Настройки. След като сте там, изберете Блокиране на неизвестни податели и сте готови.
В Lollipop, където Hangouts е приложението за съобщения по подразбиране, няма начин по подразбиране за блокиране на неизвестни податели. Можете обаче в Настройки да отидете на Мултимедийни съобщения и да изключите Автоматично извличане за мултимедийни съобщения.
С Lollipop и други версии на Android препоръчвам да се обърнете към приложения за блокиране на SMS на трети страни. За Android 2.3 до 4.3, харесвам Лесно блокиране на обаждания и SMS. Ако използвате KitKat или по-нова версия, където само едно текстово приложение може да бъде активно в даден момент, харесвам Пощальон, известен още като ТЕКСТ БЛОКИРАЩ. Тази програма работи във връзка с любимото ви приложение за текстови съобщения, за да блокира неизвестни податели.
Това не е перфектно. Приятел винаги може да се зарази и да разпространи зловреден софтуер, но това е добро начало.
Краткосрочното решение ще бъде, когато превозвачите и производителите на оригинално оборудване се отърсят и ни предложат корекцията. Имайки предвид техния опит, няма да затая дъх и ще блокирам мултимедийни текстове. Дългосрочното решение ще бъде, когато компаниите, използващи Android, започнат да работят с Google, за да предоставят важни корекции за сигурност възможно най-скоро през цялото време.
Свързани истории:
- Google има проблем със сигурността на Android
- Google ще ви плати за намиране на грешки в сигурността на Android с новата програма
- Добрата технология разширява опциите за сигурност на Android