Android's Stagefright Используйте то, что вам нужно знать и как защитить себя
В Android есть серьезная ошибка безопасности в компоненте, известном как «Stagefright». Просто получение вредоносного MMS-сообщения может привести к взлому вашего телефона. Удивительно, что мы не видели червя, распространяющегося с телефона на телефон, как черви в первые дни Windows XP - все ингредиенты здесь.
Это на самом деле немного хуже, чем кажется. Средства массовой информации в основном сосредоточены на методе атаки MMS, но даже видео MP4, встроенное в веб-страницы или приложения, может поставить под угрозу ваш телефон или планшет.
Почему опасен огонек - это не только MMS
Некоторые комментаторы называют эту атаку «Stagefright», но на самом деле это атака на компонент в Android с именем Stagefright. Это компонент мультимедийного плеера в Android. У него есть уязвимость, которую можно использовать - наиболее опасно через MMS, которое представляет собой текстовое сообщение со встроенными мультимедийными компонентами..
Многие производители телефонов Android неразумно решили предоставить системные разрешения Stagefright, что на один шаг ниже уровня root-доступа. Использование Stagefright позволяет злоумышленнику запускать произвольный код с разрешениями «media» или «system», в зависимости от того, как настроено устройство. Системные разрешения дадут злоумышленнику практически полный доступ к своему устройству. Zimperium, организация, которая обнаружила и сообщила об этой проблеме, предлагает более подробную информацию.
Типичные приложения для обмена текстовыми сообщениями Android автоматически получают входящие MMS-сообщения. Это означает, что вы можете быть скомпрометированы только тем, кто отправит вам сообщение по телефонной сети. Если ваш телефон скомпрометирован, червь, использующий эту уязвимость, может читать ваши контакты и отправлять вредоносные MMS-сообщения вашим контактам, распространяясь, как лесной пожар, как вирус Мелиссы в 1999 году, используя Outlook и контакты электронной почты..
Первоначальные отчеты были сосредоточены на MMS, потому что это был потенциально опасный вектор, которым мог воспользоваться Stagefright. Но это не просто MMS. Как отметил Trend Micro, эта уязвимость заключается в компоненте «медиасервер», и вредоносный файл MP4, встроенный в веб-страницу, может использовать его - да, просто перейдя на веб-страницу в веб-браузере. Файл MP4, встроенный в приложение, которое хочет использовать ваше устройство, может сделать то же самое.
Ваш смартфон или планшет уязвимы?
Ваше Android-устройство, вероятно, уязвимо. Девяносто пять процентов Android-устройств в дикой природе уязвимы для Stagefright.
Чтобы убедиться, установите приложение Stagefright Detector из Google Play. Это приложение было создано компанией Zimperium, которая обнаружила и сообщила об уязвимости Stagefright. Он проверит ваше устройство и сообщит вам, был ли исправлен Stagefright на вашем телефоне Android или нет.
Как Предотвратить Атаки на Стадии, Если Вы Уязвимы
Насколько нам известно, антивирусные приложения Android не спасут вас от атак Stagefright. У них не обязательно достаточно системных разрешений для перехвата MMS-сообщений и вмешательства в системные компоненты. Google также не может обновить компонент Служб Google Play в Android, чтобы исправить эту ошибку, лоскутное решение, которое Google часто использует, когда обнаруживаются дыры в безопасности..
Чтобы по-настоящему защитить себя от компрометации, необходимо запретить загрузку и запуск MMS-сообщений по выбору приложения для обмена сообщениями. В общем, это означает отключение параметра «Автопоиск MMS» в его настройках. Когда вы получаете MMS-сообщение, оно не загружается автоматически - вам нужно будет загрузить его, коснувшись заполнителя или чего-то подобного. Вы не будете в опасности, если вы не решите скачать MMS.
Ты не должен этого делать. Если MMS пришло от кого-то, кого вы не знаете, обязательно проигнорируйте его. Если MMS пришло от друга, возможно, его телефон был взломан, если червь начинает взлетать. Никогда не загружайте MMS-сообщения, если ваш телефон уязвим.
Чтобы отключить автоматический поиск MMS-сообщений, выполните соответствующие шаги для вашего приложения обмена сообщениями..
- обмен сообщениями (встроенный в Android): откройте «Сообщения», нажмите кнопку меню и нажмите «Настройки». Прокрутите вниз до раздела «Мультимедийные (MMS) сообщения» и снимите флажок «Автозагрузка».
- посыльный (от Google): откройте Messenger, нажмите меню, нажмите «Настройки», нажмите «Дополнительно» и отключите «Автопоиск».
- Hangouts (от Google): откройте Hangouts, коснитесь меню и перейдите в «Настройки»> «SMS». Снимите флажок «Автоматически получать SMS» в разделе «Дополнительно». (Если вы не видите параметры SMS здесь, ваш телефон не использует Hangouts для SMS. Отключите настройку в приложении SMS, которое вы используете вместо этого.)
- Сообщения (от Samsung): откройте «Сообщения» и выберите «Дополнительно»> «Настройки»> «Дополнительные настройки». Нажмите «Мультимедийные сообщения» и отключите опцию «Автозагрузка». Этот параметр может находиться в разных местах на разных устройствах Samsung, которые используют разные версии приложения «Сообщения»..
Здесь невозможно составить полный список. Просто откройте приложение, которое вы используете для отправки SMS-сообщений (текстовых сообщений), и найдите опцию, которая отключит «автоматическое получение» или «автоматическую загрузку» MMS-сообщений..
Предупреждение: Если вы решили загрузить MMS-сообщение, вы по-прежнему уязвимы. И, поскольку уязвимость Stagefright - это не просто проблема с MMS-сообщением, она не полностью защитит вас от любого типа атаки..
Когда ваш телефон получает патч?
Вместо того, чтобы пытаться обойти ошибку, было бы лучше, если бы ваш телефон только что получил обновление, которое исправило его. К сожалению, ситуация с обновлением Android в настоящее время является кошмаром. Если у вас есть недавний флагманский телефон, вы можете ожидать обновления в какой-то момент - надеюсь. Если у вас старый телефон, особенно бюджетный, есть большая вероятность, что вы просто никогда не получите обновление.
- Nexus Devices: Google выпустил обновления для Nexus 4, Nexus 5, Nexus 6, Nexus 7 (2013), Nexus 9 и Nexus 10. Оригинальный Nexus 7 (2012), по-видимому, больше не поддерживается и не будет исправлен
- Samsung: Sprint начал выпускать обновления для Galaxy S5, S6, S6 Edge и Note Edge. Неясно, когда другие операторы распространяют эти обновления.
Google также сообщил Ars Technica, что «самые популярные Android-устройства» получат обновление в августе, в том числе:
- Samsung: Galaxy S3, S4 и Note 4, помимо телефонов выше.
- HTC: Один М7, Один М8 и Один М9.
- LG: G2, G3 и G4.
- Sony: Xperia Z2, Z3, Z4 и Z3 Compact.
- Android One устройства, поддерживаемые Google
Motorola также объявила, что начнет обновлять свои телефоны, начиная с августа, включая Moto X (1-го и 2-го поколения), Moto X Pro, Moto Maxx / Turbo, Moto G (1-го, 2-го и 3-го поколения), Moto G с 4G LTE (1-го и 2-го поколения), Moto E (1-го и 2-го поколения), Moto E с 4G LTE (2-го поколения), DROID Turbo и DROID Ultra / Mini / Maxx.
Google Nexus, Samsung и LG обязались обновлять свои телефоны обновлениями безопасности один раз в месяц. Однако это обещание действительно применимо только к флагманским телефонам и потребует от операторов связи сотрудничать. Неясно, насколько хорошо это сработает. Операторы потенциально могут помешать этим обновлениям, и это все еще оставляет большое количество - тысячи различных моделей - используемых телефонов без обновления..
Или просто установите CyanogenMod
CyanogenMod - стороннее пользовательское ПЗУ Android, часто используемое энтузиастами. Он выводит текущую версию Android на устройства, которые производители перестали поддерживать. Это на самом деле не идеальное решение для обычного человека, так как требует разблокировки загрузчика телефона. Но, если ваш телефон поддерживается, вы можете использовать этот трюк, чтобы получить текущую версию Android с текущими обновлениями безопасности. Неплохая идея установить CyanogenMod, если ваш телефон больше не поддерживается его производителем.
CyanogenMod исправил уязвимость Stagefright в ночных версиях, и это исправление должно скоро сделать его стабильной версией через OTA-обновление.
У Android проблема: большинство устройств не получают обновления безопасности
К сожалению, это лишь одна из многих дыр в безопасности, которые создают старые Android-устройства. Это просто особенно плохо, что привлекает больше внимания. Например, большинство устройств Android - все устройства под управлением Android 4.3 и старше - имеют уязвимый компонент веб-браузера. Это никогда не будет исправлено, если устройства не обновятся до более новой версии Android. Вы можете защитить себя от этого, запустив Chrome или Firefox, но этот уязвимый браузер всегда будет на этих устройствах, пока они не будут заменены. Производители не заинтересованы в том, чтобы обновлять и поддерживать их, поэтому так много людей обратились к CyanogenMod.
Google, производители устройств Android и операторы сотовой связи должны привести свои действия в порядок, поскольку текущий метод обновления - или, скорее, не обновления - устройств Android ведет к экосистеме Android, где устройства со временем накапливают дыры. Вот почему айфоны более безопасны, чем телефоны Android - айфоны действительно получают обновления безопасности. Apple взяла на себя обязательство обновлять iPhone дольше, чем Google (только для телефонов Nexus), Samsung и LG также собираются обновить свои телефоны.
Вы, наверное, слышали, что использование Windows XP опасно, потому что оно больше не обновляется. Со временем XP будет продолжать создавать дыры в безопасности и становиться все более и более уязвимым. Что ж, использование большинства телефонов Android происходит одинаково - они также не получают обновлений безопасности.
Некоторые меры по защите от эксплойтов могут помочь предотвратить захват червя Stagefright более чем миллионами телефонов Android. Google утверждает, что ASLR и другие средства защиты в более поздних версиях Android помогают предотвратить атаку Stagefright, и это, по-видимому, частично верно.
Некоторые операторы сотовой связи также блокируют потенциально вредоносные MMS-сообщения со своей стороны, предотвращая их доступ к уязвимым телефонам. Это помогло бы предотвратить распространение червя через MMS-сообщения, по крайней мере, на операторов, принимающих меры.
Изображение предоставлено: Маттео Дони на Flickr