To je zapravo nešto gore nego što zvuči. Mediji su se uglavnom usredotočili na metodu napada MMS-a, no čak i MP4 videozapisi ugrađeni u web stranice ili aplikacije mogu ugroziti vaš telefon ili tablet.
Zašto je Stagefright flaw opasna - to nije samo MMS
Neki su komentatori nazvali ovaj napad "Stagefright", ali to je zapravo napad na komponentu u Androidu pod imenom Stagefright. Ovo je komponenta za multimedijski player u Androidu. To je ranjivost koja se može iskoristiti - najopasnije preko MMS-a, koji je tekstualna poruka s ugrađenim multimedijalnim komponentama.
Mnogi proizvođači telefona s Androidom neželjeno su odlučili dati dozvolu Stagefright sustava, što je korak od korijenskog pristupa. Iskorištavanje Stagefrighta omogućuje napadaču pokretanje arbtirijskog koda s dopuštenjima "medija" ili "sustava", ovisno o tome kako je uređaj konfiguriran. Dozvole sustava omogućuju da napadač u potpunosti završi acess na svojem uređaju. Zimperium, organizacija koja je otkrila i izvijestila o problemu, nudi više pojedinosti.
Uobičajene aplikacije za slanje SMS poruka Android automatski preuzimaju dolazne MMS poruke. To znači da bi vam netko mogao poslati poruku putem telefonske mreže. S vašim telefonom ugrožen, crv koji koristi ovu ranjivost mogao je pročitati vaše kontakte i slati zlonamjerne MMS poruke vašim kontaktima, šireći se poput požara poput virusa Melissa 1999. godine koristeći Outlook i kontakte e-pošte.
Početna izvješća bila su usredotočena na MMS, jer je to bio najpotentniji opasni vektor Stagefright koji bi mogao iskoristiti. Ali to nije samo MMS. Kao što je naglasio Trend Micro, ova je ranjivost u komponenti "medijski poslužitelj", a zlonamjerna datoteka MP4 ugrađena na web stranicu mogla bi ga iskoristiti - da, samo ako krenete na web stranicu web preglednika. MP4 datoteka ugrađena u aplikaciju koja želi iskoristiti vaš uređaj može učiniti isto.
Je li vaš pametni telefon ili tablet slabiji?
Vaš Android uređaj vjerojatno je ranjiv. Devedeset pet posto Android uređaja u divljini su ranjive na Stagefright.
Da biste sigurno provjerili, instalirajte aplikaciju Stagefright Detector s usluge Google Play. Ovu aplikaciju napravio je Zimperium, koji je otkrio i prijavio ranjivost Stagefright. Provjerit će vaš uređaj i reći je li Stagefright zakrpao na vašem Android telefonu ili ne.
Kako spriječiti napade na treninge ako ste ranjivi
Koliko nam je poznato, Androidove antivirusne aplikacije neće vas spasiti od napada Stagefrighta. Oni ne moraju nužno imati dovoljno ovlasti sustava za presresti MMS poruke i ometati komponente sustava. Google također ne može ažurirati komponentu usluge Google Play na Androidu kako bi popravio ovaj bug, rješenje za patchwork koji se često koristi kada se pojavljuju sigurnosni otvori.
Da biste se spriječili da se ugroženi, morate izbjegavati preuzimanje i pokretanje MMS poruka aplikaciji za razmjenu poruka. Općenito, to znači da onemogućuje postavku "MMS automatsko pronalaženje" u svojim postavkama. Kada primite MMS poruku, ona se neće automatski preuzeti - morat ćete je preuzeti tako da dodirnete rezervirano mjesto ili nešto slično. Nećete biti u opasnosti ako ne odaberete preuzimanje MMS-a.
Ne biste to trebali učiniti. Ako je MMS od nekoga koga ne poznajete, zanemarite ga. Ako je MMS poruka od prijatelja, moguće je da je njihov telefon ugrožen ako se crv počne skinuti. Najsigurnije je nikada preuzeti MMS poruke ako je vaš telefon ranjiv.
Da biste onemogućili automatsko dohvaćanje MMS poruke, slijedite odgovarajuće korake za aplikaciju za razmjenu poruka.
- Poruke (ugrađen u Android): Otvorite Poruke, dodirnite gumb izbornika i dodirnite Postavke. Pomaknite se do odjeljka "Multimedijalni (MMS) poruke" i poništite opciju "Automatsko preuzimanje".
- Glasnik (Google): otvorite Messenger, dodirnite izbornik, dodirnite Postavke, dodirnite Napredno i onemogućite "Automatsko preuzimanje".
- Značajka Hangouts (Google): otvorite Hangouts, dodirnite izbornik i idite na Postavke> SMS. Poništite odabir opcije "Automatski preuzimanje SMS-a" u odjeljku Napredno. (Ako ovdje ne vidite opcije SMS-a, vaš telefon ne upotrebljava Hangouts za SMS. Onemogućite postavku u SMS aplikaciji koju upotrebljavate.)
- poruke (Samsung): Otvorite Poruke i idite na Više> Postavke> Više postavki. Dodirnite Multimedijske poruke i onemogućite opciju "Automatsko preuzimanje". Ta se postavka može nalaziti na drugom mjestu na različitim Samsung uređajima koji koriste različite verzije aplikacije Poruke.
Nemoguće je ovdje napraviti cjeloviti popis. Jednostavno otvorite aplikaciju koju koristite za slanje SMS poruka (SMS poruke) i potražite opciju koja će onemogućiti "automatsko preuzimanje" ili "automatsko preuzimanje" MMS poruka.
Upozorenje: Ako odlučite preuzeti MMS poruku, još uvijek ste ranjivi.I, kako ranjivost Stagefright nije samo problem s MMS porukom, to vas neće u potpunosti zaštititi od svih vrsta napada.
Kada je vaš telefon dobivanje Patch?
Umjesto da pokušavate raditi oko bugova, bilo bi bolje da je vaš telefon upravo primio ažuriranje koje ju je popravilo. Nažalost, ažuriranje Android ažuriranja trenutačno je noćna mora. Ako imate nedavno najbliži telefon, vjerojatno možete očekivati nadogradnju u nekom trenutku - nadamo se. Ako imate stariji telefon, pogotovo niži telefon, postoji dobra šansa da nikada ne dobijete ažuriranje.
- Nexus uređaji: Google je sada objavio ažuriranja za Nexus 4, Nexus 5, Nexus 6, Nexus 7 (2013), Nexus 9 i Nexus 10. Izvorni Nexus 7 (2012) očito nije više podržan i neće biti zakrpan
- Samsung: Sprint je počeo gurati nadogradnje na Galaxy S5, S6, S6 Edge i Note Edge. Nije jasno kada drugi prijevoznici guraju ta ažuriranja.
Google je također rekao Ars Technici da će "najomiljeniji Android uređaji" dobiti ažuriranje u kolovozu, uključujući:
- Samsung: Galaxy S3, S4 i Napomena 4, pored gore navedenih telefona.
- HTC: Jedan M7, jedan M8 i jedan M9.
- LG: G2, G3 i G4.
- Sony: Xperia Z2, Z3, Z4 i Z3 Compact.
- Android One uređaje koje podržava Google
Motorola je također najavio da će u kolovozu zakrpati telefone s ažuriranjima, uključujući Moto X (1. i 2. generacija), Moto X Pro, Moto Maxx / Turbo, Moto G (1., 2. i 3. generacija), Moto G s 4G LTE (1. i 2. generacija), Moto E (1. i 2. generacija), Moto E s 4G LTE (druga generacija), DROID Turbo i DROID Ultra / Mini / Maxx.
Google Nexus, Samsung i LG su se obvezali ažurirati svoje telefone sa sigurnosnim ažuriranjima jednom mjesečno. Međutim, ovo obećanje zaista vrijedi samo za vodeće telefone i zahtijevat će da prijevoznici surađuju. Nije jasno koliko će to dobro riješiti. Prijenosnici bi mogli potrajati na putu ovih ažuriranja, a to i dalje ostavlja veliki broj - tisuće različitih modela - telefona koji se upotrebljavaju bez ažuriranja.
Ili, samo instalirajte CyanogenMod
CyanogenMod je prilagođena ROM ROM-a treće strane koju često koriste entuzijasti. Donosi trenutačnu verziju Androida na uređaje koje su proizvođači prestali podržavati. To zapravo nije idealno rješenje za prosječnu osobu jer zahtijeva otključavanje pokretača sustava vašeg telefona. No, ako je vaš telefon podržan, možete upotrijebiti ovaj trik da biste dobili trenutačnu verziju Androida uz trenutačna sigurnosna ažuriranja. Nije loša ideja za instalaciju CyanogenMod ako vaš proizvođač više ne podržava vaš telefon.
CyanogenMod je fiksirala ranjivost Stagefright u noćnim verzijama, a popravak bi trebao biti uskoro dostupan na stabilnoj verziji putem OTA ažuriranja.
Android ima problem: većina uređaja ne dobiva sigurnosna ažuriranja
To je samo jedan od mnogih sigurnosnih rupa na starim Android uređajima, nažalost. To je samo osobito loše što privlači više pozornosti. Većina Android uređaja - svi uređaji s Androidom 4.3 i starijima - imaju, na primjer, ranjivu komponentu web preglednika. To nikad neće biti zakrpan ako uređaji ne budu nadograđeni na noviju verziju Androida. Možete se zaštititi protiv njega tako da pokrenete Chrome ili Firefox, ali taj ranjivi preglednik zauvijek će biti na tim uređajima sve dok ne budu zamijenjeni. Proizvođači nisu zainteresirani za njihovo ažuriranje i održavanje, zbog čega se toliko ljudi okrenulo CyanogenModu.
Google, proizvođači uređaja sa sustavom Android i mobilni operateri trebaju dobiti svoj redoslijed jer je trenutačna metoda ažuriranja - ili bolje, ne ažuriranje - Android uređaji dovode do ekosustava Androida s uređajima koji s vremenom stvaraju rupe. Zato su iPhone sigurniji od Android telefona - iPhone zapravo dobiva sigurnosna ažuriranja. Apple se obvezao na ažuriranje iPhona dulje od Googlea (samo za Nexus telefone), Samsung i LG surađuju na nadogradnju svojih telefona.
Vjerojatno ste čuli da je korištenje sustava Windows XP opasno jer se više ne ažurira. XP će nastaviti izgraditi sigurnosne rupe tijekom vremena i postati sve ranjivija. Pa, upotreba većine Android telefona jednaka je i za njih ne primaju ni sigurnosna ažuriranja.
Neki iskorištavaju ublažavanja mogu spriječiti Stagefright crv iz preuzimanja milijuna Android telefona. Google tvrdi da ASLR i druge zaštite na novijim verzijama Androida pomažu spriječiti napadanje Stagefrighta, što čini djelomično istinito.
Čini se da neki stanični nosači blokiraju potencijalno zlonamjernu MMS poruku na svom kraju, sprečavajući im da nikada dospiju na ranjive telefone. To bi spriječilo širenje crva putem MMS poruka, barem na prijevoznicima koji poduzimaju radnje.
