Je to vlastne o niečo horšie, ako to znie. Médiá sa z veľkej časti zamerali na metódu MMS útoku, ale aj videá MP4 vložené do webových stránok alebo aplikácií by mohli ohroziť váš telefón alebo tablet.
Prečo je chyba Stagefrightu nebezpečná - nie je to len MMS
Niektorí komentátori nazvali tento útok "Stagefright", ale je to vlastne útok na komponent v systéme Android s názvom Stagefright. Toto je komponent multimediálneho prehrávača v systéme Android. Má zraniteľnosť, ktorú možno zneužiť - najnebezpečnejšie prostredníctvom MMS, čo je textová správa s vloženými multimediálnymi komponentmi.
Mnohí výrobcovia telefónov so systémom Android majú neochvejne vyberať povolenia systému Stagefright, čo je o krok pod úrovňou prístupu k serverom root. Využívanie funkcie Stagefright umožňuje útočníkovi spustiť ľubovoľný kód s povoleniami typu "media" alebo "system" v závislosti od spôsobu konfigurácie zariadenia. Systémové povolenia by útočníkovi v podstate poskytovali prístup k svojmu zariadeniu. Zimperium, organizácia, ktorá objavila a oznámila problém, ponúka ďalšie podrobnosti.
Typické aplikácie na odosielanie textových správ Android automaticky načítajú prichádzajúce správy MMS. To znamená, že by ste mohli byť ohrození iba tým, kto vám posiela správu cez telefónnu sieť. S telefónom, ktorý je ohrozený, červa s touto chybou zabezpečila čítanie vašich kontaktov a posielanie škodlivých správ MMS do vašich kontaktov, ktoré sa šírili ako požiar, aký bol vírus Melissa v roku 1999, pomocou kontaktov Outlook a e-mailov.
Počiatočné správy boli zamerané na MMS, pretože to bol najviac potenciálne nebezpečný vektor, ktorý by Stagefright mohol využiť. Nie je to však len MMS. Ako uviedla spoločnosť Trend Micro, táto chyba je v komponente "mediaserver" a škodlivý súbor MP4 vložený na webovej stránke by mohol zneužiť túto funkciu - áno, jednoducho prejdením na webovú stránku vo vašom webovom prehliadači. Súbor MP4 vložený do aplikácie, ktorá chce používať vaše zariadenie, môže urobiť to isté.
Je váš smartphone alebo tablet zraniteľný?
Vaše zariadenie s Androidom je pravdepodobne zraniteľné. Deväťdesiatpäť percent zariadení Android vo voľnej prírode je zraniteľných voči spoločnosti Stagefright.
Ak chcete skontrolovať, nainštalujte aplikáciu Stagefright Detector zo služby Google Play. Táto aplikácia bola vytvorená spoločnosťou Zimperium, ktorá zistila a hlásila zraniteľnosť programu Stagefright. Skontroluje vaše zariadenie a povie vám, či bol Stagefright na vašom telefóne s Androidom záplaty alebo nie.
Ako zabrániť útokom Stagefright Ak ste zraniteľný
Pokiaľ vieme, antivírusové aplikácie Android vás nebudú chrániť pred útokmi Stagefright. Nemusia mať dostatočné systémové povolenia na zachytenie správ MMS a zasahovanie do systémových komponentov. Spoločnosť Google tiež nedokáže aktualizovať súčasť služieb Google Play v systéme Android, aby túto chybu opravila, čo je riešenie patchwork, ktoré spoločnosť Google často využíva, keď sa objavia bezpečnostné otvory.
Ak chcete skutočne zabrániť tomu, aby ste boli ohrozený, musíte zabrániť aplikácii na odosielanie správ, ktorú si vyberiete pri preberaní a spúšťaní správ MMS. Vo všeobecnosti to znamená zakázanie nastavenia "MMS auto-retrieval" vo svojich nastaveniach. Keď dostanete správu MMS, nebude sa automaticky sťahovať - budete ju musieť stiahnuť kliknutím na zástupný symbol alebo podobne. Nebudete ohrozené, pokiaľ si nezvolíte preberanie MMS.
Nemali by ste to robiť. Ak je MMS od niekoho, koho nepoznáte, určite ju ignorujte. Ak je MMS od priateľa, bolo by možné, že ich telefón bude ohrozený, ak sa červ začne vzlietnuť. Najbezpečnejšie je, aby ste si nikdy nepostúpili správy MMS, ak je váš telefón zraniteľný.
Ak chcete zakázať automatické vyhľadávanie správ MMS, postupujte podľa príslušných krokov pre aplikáciu na odosielanie správ.
- správy (zabudované do systému Android): Otvorte Správy, klepnite na tlačidlo ponuky a klepnite na Nastavenia. Prejdite nadol na sekciu "Multimediálne správy (MMS)" a zrušte začiarknutie políčka "Auto-retrieve".
- posol (od spoločnosti Google): Otvorte aplikáciu Messenger, klepnite na ponuku, klepnite na Nastavenia, klepnite na Pokročilé a vypnite funkciu "Automatické načítanie".
- Hangouts (od spoločnosti Google): Otvorte Hangouts, klepnite na ponuku a prejdite na položku Nastavenia> SMS. Zrušte začiarknutie políčka Automatické načítanie SMS v časti Rozšírené. (Ak tu nie sú zobrazené možnosti SMS, váš telefón nepoužíva služby Hangouts na odosielanie SMS. Vypnite nastavenie v aplikácii SMS, ktorú ste použili.)
- správy (od spoločnosti Samsung): Otvorte Správy a prejdite na položku Ďalšie> Nastavenia> Ďalšie nastavenia. Klepnite na položku Multimediálne správy a deaktivujte možnosť "Automatické načítanie". Toto nastavenie môže byť na inom mieste v rôznych zariadeniach Samsung, ktoré používajú rôzne verzie aplikácie Správy.
Tu nie je možné vytvoriť úplný zoznam. Stačí otvoriť aplikáciu, ktorú používate na odosielanie SMS správ (textové správy), a vyhľadajte možnosť, ktorá zakáže automatické načítanie alebo automatické preberanie správ MMS.
Výstraha: Ak sa rozhodnete prevziať správu MMS, stále ste zraniteľní.A keďže zraniteľnosť Stagefright nie je len otázkou správy MMS, nebude to úplne ochrániť pred každým typom útoku.
Kedy je telefón dostal opravu?
Skôr než sa pokúsite vyriešiť chybu, bolo by lepšie, keby váš telefón práve dostal aktualizáciu, ktorá ju opravila. Bohužiaľ, aktualizácia situácie Android je v súčasnosti nočnou morou. Ak máte nedávny vlajkový telefón, môžete pravdepodobne očakávať upgrade na nejakom mieste - dúfajme. Ak máte starší telefón, predovšetkým telefón s nižším koncovým rozlíšením, máte veľkú šancu, že nedostanete aktualizáciu.
- Zariadenia Nexus: Spoločnosť Google teraz uvoľnila aktualizácie pre Nexus 4, Nexus 5, Nexus 6, Nexus 7 (2013), Nexus 9 a Nexus 10. Pôvodný Nexus 7 (2012) už zrejme už nie je podporovaný a nebude sa opravovať
- Samsung: Sprint začal tlačiť na aktualizácie Galaxy S5, S6, S6 Edge a Note Edge. Nie je jasné, keď iní dopravcovia tlačia tieto aktualizácie von.
Spoločnosť Google tiež povedala spoločnosti Ars Technica, že "najobľúbenejšie zariadenia Android" získa aktualizáciu v auguste vrátane:
- Samsung: Galaxy S3, S4 a Poznámka 4, okrem telefónov uvedených vyššie.
- HTC: Jeden M7, jeden M8 a jeden M9.
- LG: G2, G3 a G4.
- Sony: Kompakty Xperia Z2, Z3, Z4 a Z3.
- Android One zariadenia podporované spoločnosťou Google
Spoločnosť Motorola oznámila, že bude aktualizovať svoje mobilné telefóny s aktualizáciami od augusta, vrátane Moto X (1. a 2. generácia), Moto X Pro, Moto Maxx / Turbo, Moto G (1., 2. a 3. generácia), Moto G s 4G LTE (1. a 2. generácia), Moto E (1. a 2. generácia), Moto E s 4G LTE (druhá generácia), DROID Turbo a DROID Ultra / Mini / Maxx.
Spoločnosti Google Nexus, Samsung a LG sa zaviazali aktualizovať svoje telefóny aktualizáciami zabezpečenia raz za mesiac. Tento prísľub sa však skutočne vzťahuje iba na vlajkové telefóny a vyžaduje si spoluprácu dopravcov. Nie je jasné, ako dobre to bude fungovať. Dopravcovia by mohli potenciálne prekážať týmto aktualizáciám, a to stále ponecháva veľké množstvo - tisícky rôznych modelov - telefónov v prevádzke bez aktualizácie.
Alebo len nainštalujte CyanogenMod
CyanogenMod je vlastná pamäť ROM od iných výrobcov, ktorú často používajú nadšenci. Prináša aktuálnu verziu systému Android zariadeniam, ktoré výrobcovia prestali podporovať. Toto nie je naozaj ideálne riešenie pre priemerného človeka, pretože vyžaduje odomknutie zavádzacieho zariadenia vášho telefónu. Ak je však váš telefón podporovaný, môžete použiť tento trik na získanie aktuálnej verzie Android so súčasnými aktualizáciami zabezpečenia. Nie je zlý nápad nainštalovať produkt CyanogenMod, ak váš telefón už nie je podporovaný jeho výrobcom.
CyanogenMod opravil zraniteľnosť Stagefright vo večerných verziách a oprava by mala rýchlo dosiahnuť stabilnú verziu pomocou aktualizácie OTA.
Android má problém: Väčšina zariadení nemá aktualizácie zabezpečenia
To je len jeden z mnohých bezpečnostných dier, ktoré staré zariadenia Android vytvárajú, bohužiaľ. Je to len veľmi zlé, ktoré dostáva čoraz väčšiu pozornosť. Väčšina zariadení so systémom Android - všetkým zariadeniam so systémom Android 4.3 a starším - má napríklad zraniteľný komponent webového prehliadača. Toto sa nikdy nezapíše, pokiaľ zariadenia nedosiahnu inováciu na novšiu verziu systému Android. Môžete sa jej chrániť pred spustením prehliadača Chrome alebo Firefoxu, ale tento zraniteľný prehliadač bude navždy na týchto zariadeniach, kým nebudú nahradení. Výrobcovia nemajú záujem o aktualizáciu a údržbu, a preto sa toľko ľudí obráti na CyanogenMod.
Spoločnosť Google, výrobcovia zariadení s Androidom a mobilní operátori potrebujú svoje konanie v poriadku, pretože súčasná metóda aktualizácie - alebo skôr neaktualizácia - zariadení s Androidom vedie k ekosystému Android, vďaka čomu sa zariadenia časom vytvárajú otvory. To je dôvod, prečo sú telefóny iPhone bezpečnejšie ako telefóny s Androidom - iPhones skutočne získajú aktualizácie zabezpečenia. Spoločnosť Apple sa zaviazala aktualizovať telefóny iPhone dlhšie ako spoločnosť Google (len telefóny Nexus), Samsung a LG sa zaväzujú aktualizovať svoje telefóny.
Pravdepodobne ste počuli, že používanie systému Windows XP je nebezpečné, pretože sa už neaktualizuje. XP bude aj naďalej vytvárať bezpečnostné diery v priebehu času a stane sa čoraz zraniteľnejšími. No, väčšina telefónov so systémom Android je rovnaká - nedostávajú ani aktualizácie zabezpečenia.
Niektoré zmiernenie zneužitia pomôžu zabrániť tomu, aby červ Stagefright prevzal milióny telefónov so systémom Android. Spoločnosť Google tvrdí, že ASLR a ďalšie ochrany na najnovších verziách systému Android zabraňujú útoku programu Stagefright, čo sa zdá byť čiastočne pravdivé.
Zdá sa, že niektorí mobilní operátori na svojom konci blokujú potenciálne škodlivú správu MMS, čím zabraňujú tomu, aby sa stále dostávali k zraniteľným telefónom. To by pomohlo zabrániť šíreniu červov prostredníctvom MMS správ, prinajmenšom pre operátorov.
