Det ser ud til, at Stagefright slår igen.
Sikkerhedsfejlen, der forbyder telefoner, der kører versioner af Android OS mellem 2,2 og 4, har nu opdrættet hovedet til at angribe enheder, der kører Android 5.0 og nyere.
Joshua J. Drake, Zimperium zLabs vicepræsident for forskning, har fundet et andet sikkerhedsproblem i Android kaldet Stagefright 2.0. Drake hævder, at der er to sårbarheder, der kan opstå, når der behandles specielt udformede MP3-lyd- og MP4-videofiler.
$config[code] not foundTilsyneladende er der i MP3 og MP4-filer en funktion, der muliggør fjernkørsel af kode (RCE). Dette betyder stort set, at inficerede MP3- og MP4-filer kan give nogen adgang til at køre en opgave på din Android-telefon. Selv ved at forhåndsvise en ondsindet sang eller video kan du sætte telefonen i fare.
Drake siger i sit blogindlæg, at den mest sårbare tilgang til en Android-telefon er gennem en webbrowser, og på tre forskellige måder kan en hacker udnytte sikkerhedsfejlen.
For det første kan en angriber forsøge at få en Android-bruger til at besøge en webadresse, der virkelig vil føre til en hackerstyret hjemmeside. Det kan f.eks. Ske i form af en annoncekampagne. Når lokalet er lokket, vil offeret blive udsat for den inficerede MP3- eller MP4-fil.
På samme linje kan en angriber bruge en tredjepartsprogram, som en medieafspiller. I dette tilfælde er det den app, der vil indeholde en af disse ondsindede filer.
Men der er en tredje mulighed, hvor en hacker kunne tage en anden rute.
Sig, hacker og Android-bruger bruger den samme WiFi. Hackeren ville da ikke nødt til at narre brugeren til at besøge en webadresse eller åbne en tredjepartsprogram. I stedet er alt, hvad de skal gøre, at indsprøjte udnyttelsen i brugerens ukrypterede netværkstrafik, der bruges af browseren.
Den oprindelige Stagefright bug - som også blev opdaget af Drake tidligere i år - åbnede Android-telefoner for sårbarheden gennem sms'er, der indeholder malware.
Hvis en hacker kendte dit telefonnummer, kunne en sms sendes, der indeholder en ondsindet multimediefil. Teksten kan så tillade en hacker adgang til en brugers data og fotos, eller endda give adgang til funktioner som telefonens kamera eller mikrofon.
Brugere kan blive påvirket og ikke engang kender det.
En patch blev frigivet til den oprindelige Stagefright bug ikke alt for længe efter at sårbarheden blev opdaget.Der har dog været nogle problemer med patch. Nogle rapporter har angivet, at lappen kan medføre, at telefonerne nedbryder i nogle tilfælde, når en MMS-besked åbnes.
Drake siger, at han har meddelt Android om truslen, og sagde, at Android flyttede hurtigt for at afhjælpe, selv om de endnu ikke har givet et CVE-nummer til at spore dette seneste problem. Google indeholder en rettelse til Stagefright i Nexus Security Bulletin, der kommer ud i denne uge.
Hvis du er usikker på, om din Android-enhed er sårbar, kan du downloade Zimperium Inc. Stagefright Detector-appen for at kontrollere sårbarheder.
Android Lollipop Photo via Shutterstock
Mere i: Google 2 kommentarer ▼
