Indholdsfortegnelse:
- Hvad er Stagefright 2.0?
- Er min telefon eller tablet påvirket?
- Hvad laver Google med dette?
- Hvordan forbliver jeg sikkert, indtil patch'en ankommer til min telefon eller tablet?
- Er dette verdens ende?
De sidste par måneder er blevet fyldt med en masse usikkerhed omkring en række spørgsmål, der populært hedder Stagefright, et navn, der er tjent, fordi de fleste af de fundne problemer har at gøre med libstagefright i Android. Sikkerhedsfirmaet Zimperium har offentliggjort, hvad de kalder Stagefright 2.0, med to nye problemer omkring mp3- og mp4-filer, der kunne manipuleres til at udføre ondsindet kode på din telefon.
Her er hvad vi ved indtil videre, og hvordan du kan beskytte dig selv.
Hvad er Stagefright 2.0?
Ifølge Zimperium gør et par for nylig opdagede sårbarheder det muligt for en angriber at præsentere en Android-telefon eller -tablet med en fil, der ligner en MP3 eller MP4, så når metadataene for denne fil er forhåndsvisning af OS, kan denne fil udføre ondsindet kode. I tilfælde af en mand i midten angreb eller et websted bygget specifikt til levering af disse misdannede filer, kunne denne kode udføres uden brugeren nogensinde at vide det.
Zimperium hævder at have bekræftet ekstern henrettelse og bragt dette til Googles opmærksomhed den 15. august. Som svar tildelte Google CVE-2015-3876 og CVE-2015-6602 til parret af rapporterede problemer og begyndte at arbejde på en løsning.
Er min telefon eller tablet påvirket?
På en eller anden måde, ja. CVE-2015-6602 henviser til en sårbarhed i libutils, og som Zimperium påpeger i deres indlæg, hvor de annoncerer opdagelsen af denne sårbarhed, påvirker det enhver Android-telefon og tablet, der går tilbage til Android 1.0. CVE-2015-3876 påvirker enhver Android 5.0 og nyere telefon eller tablet og kan teoretisk leveres via websted eller mand i midtangrebet.
IMIDLERTID.
Der er i øjeblikket ingen offentlige eksempler på, at denne sårbarhed nogensinde er blevet brugt til at udnytte noget uden for laboratoriebetingelser, og Zimperium planlægger ikke at dele bevis-of-concept-udnyttelsen, de brugte til at demonstrere dette problem til Google. Selvom det er muligt, kunne en anden finde ud af denne udnyttelse, før Google udsteder en programrettelse, og detaljerne bag denne udnyttelse stadig holdes privat, er det usandsynligt.
Hvad laver Google med dette?
Ifølge en erklæring fra Google adresserer oktober-sikkerhedsopdateringen begge disse sårbarheder. Disse programrettelser laves i AOSP og vil blive udrullet til Nexus-brugere fra 5. oktober. Eagle eyed-læsere har måske bemærket Nexus 5X og Nexus 6P, vi kiggede på for nylig allerede havde 5. oktober-opdateringen installeret, så hvis du forudbestilte en af disse telefoner, vil din hardware ankomme rettet mod disse sårbarheder. Yderligere oplysninger om programrettelsen findes i Google Security Google Group den 5. oktober.
Med hensyn til ikke-Nexus-telefoner leverede Google oktober-sikkerhedsopdateringen til partnere den 10. september og har samarbejdet med OEM'er og luftfartsselskaber om at levere opdateringen så hurtigt som muligt. Hvis du ser på listen over enheder, der er lappet i den sidste Stagefright-udnyttelse, har du et rimeligt billede af, hvilken hardware der betragtes som en prioritet i denne proces.
Hvordan forbliver jeg sikkert, indtil patch'en ankommer til min telefon eller tablet?
I tilfælde af, at nogen virkelig løber rundt med en Stagefright 2.0-udnyttelse og forsøger at inficere Android-brugere, hvilket igen er meget usandsynligt på grund af manglen på offentlige detaljer, har nøglen til at forblive i sikkerhed alt at gøre med at være opmærksom på, hvor du ' genomsøger og hvad du har forbindelse til.
Undgå offentlige netværk, når du kan, stole på tofaktorautentisering, når det er muligt, og hold dig så langt væk fra skyggefulde websteder, som du muligvis kan. Oftest almindelig fornuft web-ting til at holde dig sikker.
Er dette verdens ende?
Ikke engang lidt. Selvom alle Stagefright-sårbarhederne faktisk er alvorlige og skal behandles som sådan, har kommunikation mellem Zimperium og Google for at sikre, at disse problemer bliver løst så hurtigt som muligt, været fantastisk. Zimperium har med rette henledt opmærksomheden på problemer med Android, og Google er trådt ind for at rette op. I en perfekt verden ville disse sårbarheder ikke eksistere, men de gør og behandles hurtigt. Kan ikke bede om meget mere end det i betragtning af den situation, vi er i.
