Android má masivní bezpečnostní chybu v komponentě známém jako "Stagefright". Stačí, když obdržíte škodlivou zprávu MMS. telefon je ohrožen. Je překvapující, že jsme neviděli, jak se červa šíří z telefonu na telefon, jako červi v raných dnech Windows XP - všechny ingredience jsou zde.
Je to vlastně trochu horší než to zní. Média se z velké části zaměřují na metodu MMS útoku, ale i videa MP4 vložená do webových stránek nebo aplikací mohou ohrozit telefon nebo tablet.
Někteří komentátoři to nazvali útok "Stagefright", ale je to vlastně útok na součást Androidu s názvem Stagefright. Toto je součást multimediálního přehrávače v systému Android. Je to zranitelnost, která může být zneužita - nejnebezpečněji prostřednictvím MMS, což je textová zpráva s vloženými multimediálními komponentami.
Mnoho výrobců telefonů s Androidem se nechtěně rozhodlo dát systémovým oprávněním pro Stagefright, což je o krok pod úrovní root přístupu. Využívání funkce Stagefright umožňuje útočníkovi spustit libovolný kód s oprávněním "media" nebo "systém" v závislosti na tom, jak je zařízení nakonfigurováno. Systémová oprávnění by útočníkovi poskytla v podstatě úplnou podporu jejich zařízení. Zimperium, organizace, která objevila a hlásila problém, nabízí další podrobnosti.
Typické aplikace pro odesílání textových zpráv Android automaticky načtou příchozí zprávy MMS. To znamená, že byste mohli být ohroženi pouze tím, že vám někdo posílá zprávu přes telefonní síť. Při napadení telefonu může červa pomocí této zranitelnosti číst vaše kontakty a odesílat škodlivé zprávy MMS do vašich kontaktů a rozšiřovat se jako požár, jako byl virus Melissa, v roce 1999> pomocí kontaktů Outlook a e-mailů.
Počáteční zprávy byly zaměřeny na MMS, protože byl nejvíce potenciálně nebezpečný vektor, který mohl Stagefright využít. Ale není to jen MMS. Jak uvedl Trend Micro, tato chyba zabezpečení je v komponentech "mediaserver" a škodlivý soubor MP4 vložený na webovou stránku by mohl zneužít ji - ano, a to prostě navigací na webovou stránku ve vašem webovém prohlížeči. Soubor MP4 vložený do aplikace, která chce zneužít vaše zařízení, může učinit totéž.
Vaše zařízení Android je pravděpodobně zranitelné. Devadesát pět procent Android zařízení ve volné přírodě je pro společnost Stagefright zranitelné.
Chcete-li si být jisti, nainstalujte aplikaci Stagefright Detector od Google Play. Tuto aplikaci vytvořil Zimperium, který objevil a hlásil zranitelnost Stagefright. Zkontroluje vaše zařízení a řekne vám, zda je aplikace Stagefright opravena v telefonu Android nebo ne.
Pokud víme, antivirové aplikace Android vás neuloží od útoků Stagefright. Nemají nutně dostatek systémových oprávnění k zachycení zpráv MMS a zasahování do komponent systému. Společnost Google také nedokáže aktualizovat součást služby Google Play v systému Android, která by opravila tuto chybu, což je opravdové řešení Google často zaměstnává, když se objeví bezpečnostní otvory.
Chcete-li opravdu zabránit tomu, abyste byli ohroženi, musíte zabránit tomu, ze stahování a spouštění zpráv MMS. Obecně to znamená zakázání nastavení "Automatické načítání MMS" ve svých nastaveních. Když obdržíte zprávu MMS, nebude se automaticky stahovat - budete ji muset stáhnout tak, že klepnete na zástupný symbol nebo na něco podobného. Nebudete vystaveni riziku, pokud se rozhodnete stáhnout MMS.
Neměl byste to dělat. Pokud je MMS od někoho, koho neznáte, rozhodně ji ignorujte. Pokud je MMS od přítele, bylo by možné, že jejich telefon bude ohrožen, pokud se červ začne rozjíždět. Je nejbezpečnější nikdy stáhnout zprávy MMS, pokud je váš telefon zranitelný
Chcete-li zakázat automatické načítání zpráv MMS, postupujte podle příslušných kroků pro aplikaci pro zasílání zpráv
Zde není možné sestavit kompletní seznam. Stačí otevřít aplikaci, kterou používáte k odesílání zpráv SMS (textové zprávy) a hledat možnost, která zakáže automatické stahování nebo automatické stahování zpráv MMS.
Varování : Pokud se rozhodnete stáhnout MMS, jste stále zranitelní. A protože zranitelnost Stagefright není jen otázkou zprávy MMS, nebude to úplně chránit před každým typem útoku.
SOUVISEJÍCÍ: Proč Android Telefon není aktualizací operačního systému a co můžete dělat o tom
Spíše než pokusit se vyřešit chybu, bylo by lepší, kdyby telefon dostal aktualizaci, která jej opravila. Situace aktualizace Androidu je bohužel momentálně noční můra. Máte-li nedávno vlajkovou loď telefonu, můžete pravděpodobně očekávat upgrade v určitém okamžiku - doufejme. Máte-li starší telefon, obzvláště telefon s nižším počtem telefonů, existuje velká šance, že se vám nedostane aktualizace.
Google také řekl Ars Technice, že "nejoblíbenější zařízení Android" by měla být aktualizace v srpnu, včetně:
Google Nexus, Samsung a LG se zavázali aktualizovat své telefony aktualizací zabezpečení jednou za měsíc. Tento slib se však skutečně vztahuje pouze na vlajkové lodě a bude vyžadovat, aby dopravci spolupracovali. Není jasné, jak dobře to bude fungovat. Nosiče by mohly potenciálně stát v cestě těchto aktualizací, a to stále ponechává velké množství - tisíce různých modelů - telefonů, které se používají bez aktualizace.
Nebo, stačí nainstalovat CyanogenMod
8 Důvody, proč instalovat produkt LineageOS na zařízení Android CyanogenMod je vlastní ROM od jiných výrobců Android, který často používají nadšenci. Přináší aktuální verzi zařízení Android na zařízení, která výrobci přestali podporovat. Není to opravdu ideální řešení pro průměrného člověka, protože vyžaduje odemknutí zavaděče telefonu. Pokud je však váš telefon podporován, můžete pomocí tohoto triku získat aktuální verzi systému Android s aktuálními aktualizacemi zabezpečení. Není to špatný nápad nainstalovat CyanogenMod, pokud váš telefon již není podporován výrobcem.
CyanogenMod opravil zranitelnost Stagefright v nočních verzích a oprava by se měla brzy dostat do stabilní verze pomocí aktualizace OTA.
Android má problém: Většina zařízení neobdrží aktualizace zabezpečení
Proč iPhone jsou bezpečnější než telefony s operačním systémem Android Je to jen jeden z mnoha bezpečnostních otvorů, které se stavějí staršími zařízeními Android. Je to obzvláště špatná, která se stále více věnuje pozornosti. Většina zařízení Android - všechny zařízení se systémem Android 4.3 a starších - má například součást zranitelného webového prohlížeče. To se nikdy nezapadne, dokud nebudou zařízení upgrade na novější verzi systému Android. Můžete se chránit proti tomu tím, že spustíte Chrome nebo Firefox, ale tento zranitelný prohlížeč bude navždy na těchto zařízeních, dokud nebudou nahrazeni. Výrobci nemají zájem udržovat je aktualizované a udržovány, což je důvod, proč tolik lidí se obrátilo na CyanogenMod.
Google, výrobci zařízení Android a mobilní operátoři potřebují dostat svůj akt do pořádku, protože současná metoda aktualizace - nebo spíše neaktualizuje - zařízení Android vede k ekosystému s Androidovými zařízeními, které v průběhu času vytvářejí díry. To je důvod, proč jsou iPhony bezpečnější než telefony s Androidem - iPhones skutečně získají aktualizace zabezpečení. Společnost Apple se zavázala aktualizovat telefony iPhone delší dobu, než je služba Google (pouze telefony Nexus), Samsung a LG se chystá vylepšit své telefony.
Pravděpodobně jste slyšeli, že používání systému Windows XP je nebezpečné, protože se již neaktualizuje. XP bude nadále vytvářet bezpečnostní otvory v průběhu času a stane se stále více zranitelnými. Používání většiny telefonů s Androidem je stejným způsobem - neobdrží ani aktualizace zabezpečení.
Některá omezení zneužití mohou pomoci zabránit červi Stagefright převzít miliony telefonů Android. Společnost Google tvrdí, že technologie ASLR a další ochrany na novějších verzích systému Android zabraňují napadení aplikace Stagefright a zdá se, že je to částečně pravdivé. Některé mobilní operátory také zřejmě blokují potenciálně škodlivé zprávy MMS a brání je od stále se vyskytujících zranitelných telefonů. To by pomohlo zabránit tomu, aby se červ šíril prostřednictvím zpráv MMS, alespoň pokud se na ně podílely operátoři.
Image Credit: Matteo Doni na Flickr
Které jméno je správné, exFAT nebo FAT64?
Někdy může být trochu matoucí nebo frustrující, když vidíte něco, na které odkazují více názvy, například exFAT a FAT64. Které jméno je správné, nebo jsou oba správné? Dnešní příspěvek SuperUser Q & A má odpověď na otázku zvědavé čtenáře. Současná otázka a odpověď se k nám dostala s laskavým svolením SuperUseru - dílčího rozdělení stackového výměru, komunitního seskupování webových stránek Otázky a odpovědi.
Přizpůsobení nabídky sdílení iOS
Systém sdílení v systému iOS je jednou z více přehlédnutých funkcí a v rámci této funkce je možnost přizpůsobení možností sdílení ještě více přehlíženo. Přečtěte si, jak vám ukážeme, jak vyladit systém sdílení tak, aby odpovídal vašim potřebám. Proč to chci dělat? Systém sdílení v systému iOS umožňuje odeslat něco z aplikace, kterou právě používáte další aplikace.