Annons

En ny Android-sårbarhet har säkerhetsvärlden orolig - och den lämnar din Android-telefon extremt sårbar. Frågan kommer i form av sex buggar i en oskyldig Android-modul som heter Scenskräck, som används för mediauppspelning.

StageFright-buggar tillåter en skadlig MMS, som skickas av en hacker, att köra skadlig kod inuti StageFright-modulen. Därifrån har koden ett antal alternativ för att få kontroll över enheten. Just nu är 950 miljoner enheter sårbara för detta utnyttjande.

Det är helt enkelt den värsta Android-sårbarheten i historien.

Tyst övertagande

Android-användare växer redan upprörd över överträdelsen och av goda skäl. En snabb skanning av Twitter visar många irriterade användare som dyker upp när nyheterna genomsyrar webben.

Från vad jag hör, har till och med Nexus-enheter inte fått någon patch för #Scenskräck. Har någon telefon? http://t.co/bnNRW75TrD

- Thomas Brewster (@iblametom) 27 juli 2015

En del av det som gör denna attack så skrämmande är att det är lite användare som kan göra för att skydda sig mot den. De skulle troligtvis inte ens veta att attacken har inträffat.

instagram viewer

Normalt, för att attackera en Android-enhet, måste du få användaren att installera en skadlig app. Denna attack är annorlunda: angriparen skulle helt enkelt behöva känna ditt telefonnummer och skicka ett skadligt multimediameddelande.

Beroende på vilken meddelandenapp du använder kanske du inte ens vet att meddelandet kom. Till exempel: om dina MMS-meddelanden går igenom Andoids Google Hangouts Hur du använder Google Hangouts på din AndroidGoogle+ Hangouts är Googles svar på chattrum. Du kan umgås med upp till 12 personer med video-, ljud- och textchatt samt flera valfria appar. Hangout är tillgängligt på din Android ... Läs mer , skulle det skadliga meddelandet kunna ta kontrollen och dölja sig innan systemet till och med varnade användaren att det hade kommit. I andra fall kanske inte utnyttjandet sparkar in förrän meddelandet faktiskt har visats, men de flesta användare skulle helt enkelt skriva av det som ofarligt skräppost Identifiera okända nummer och blockera skräppostmeddelanden med Truemessenger för AndroidTruemessenger är en fantastisk ny app för att skicka och ta emot textmeddelanden, och den kan berätta vem ett okänt nummer är och blockera skräppost. Läs mer eller fel nummer.

En gång inuti systemet har kod som körs inom StageFright automatiskt åtkomst till kameran och mikrofonen, såväl som Bluetooth-kringutrustning och all data lagrad på SD-kortet. Det är tillräckligt dåligt, men (tyvärr) det är bara början.

Medan Android Lollipop implementerar ett antal säkerhetsförbättringar 8 sätt att uppgradera till Android Lollipop gör din telefon säkrareVåra smartphones är fulla av känslig information, så hur kan vi hålla oss säkra? Med Android Lollipop, som packar en stor punch i säkerhetsarenan, som sätter in funktioner som förbättrar säkerheten över hela linjen. Läs mer , de flesta Android-enheter är fortfarande kör äldre versioner av OS En snabbguide till Android-versioner och -uppdateringar [Android]Om någon säger att de kör Android säger de inte så mycket som du tror. Till skillnad från de stora datoroperativsystemen är Android ett brett operativsystem som täcker flera versioner och plattformar. Om du vill... Läs mer , och är sårbara för något som kallas en "privilegiumupptrappningsattack". Normalt är Android-appar "sandboxed Vad är en sandlåda, och varför ska du spela i en?Mycket kopplande program kan göra mycket, men de är också en öppen inbjudan för dåliga hackare att slå till. För att förhindra att strejker blir framgångsrika måste en utvecklare upptäcka och stänga varje hål i ... Läs mer ", Vilket gör att de bara får åtkomst till de aspekter av operativsystemet som de har fått uttryckligt tillstånd att använda. Privilegieupptrappningsattacker tillåter skadlig kod att "lura" Android-operativsystemet för att ge den mer och mer åtkomst till enheten.

När den skadliga MMS har tagit kontroll över StageFright kan den använda dessa attacker för att ta total kontroll över äldre, osäkra Android-enheter. Detta är ett mardrömsscenario för enhetssäkerhet. De enda enheter som är helt immuna mot denna fråga är de som kör operativsystem äldre än Android 2.2 (Froyo), som är den version som introducerade StageFright i första hand.

Långsamt svar

StageFright-sårbarheten upptäcktes ursprungligen i april av Zimperium zLabs, en grupp säkerhetsforskare. Forskarna rapporterade frågan till Google. Google släppte snabbt en lapp till tillverkarna - men mycket få enhetstillverkare har faktiskt pressat lappen till sina enheter. Forskaren som upptäckte felet, Joshua Drake, anser att cirka 950 miljoner av de uppskattade en miljard android enheter i omlopp är sårbara för någon form av attacken.

Jippie! @BlackHatEvents accepterade nådigt min underkastelse för att tala om min forskning på @Androidär StageFright! https://t.co/9BW4z6Afmg

- Joshua J. Drake (@jduck) 20 maj 2015

Googles egna enheter som Nexus 6 har delvis lappats enligt Drake, även om vissa sårbarheter kvarstår. I ett e-postmeddelande till FORBES om ämnet försäkrade Google användare att

”De flesta Android-enheter, inklusive alla nyare enheter, har flera tekniker som är utformade för att göra det svårare att utnyttja. Android-enheter inkluderar också en applikationssandlåda utformad för att skydda användardata och andra applikationer på enheten, "

Men detta är inte mycket komfort. Fram tills Android Jellybean Topp 12 Jelly Bean-tips för en ny Google Tablet-upplevelseAndroid Jelly Bean 4.2, som ursprungligen levererades på Nexus 7, ger en fantastisk ny surfplattaupplevelse som överskrider tidigare versioner av Android. Det imponerade även vårt bosatta Apple-fan. Om du har en Nexus 7, ... Läs mer , sandlådan i Android har varit relativt svag, och det finns flera kända exploater som kan användas för att komma runt den. Det är verkligen avgörande att tillverkarna rullar ut en korrekt patch för den här frågan.

Vad kan du göra?

Tyvärr kan hårdvaruproducenter vara extremt långsamma att rulla ut dessa typer av kritiska säkerhetsuppdateringar. Det är verkligen värt att kontakta din enhetstillverkares kundtjänstavdelning och be om en uppskattning om när patchar kommer att finnas tillgängliga. Offentligt tryck kommer förmodligen att hjälpa till att påskynda saker.

För Drakes del planerar han att avslöja hela omfattningen av sina resultat på DEFCON, en internationell säkerhetskonferens som äger rum i början av augusti. Förhoppningsvis kommer den ökade reklamen att stimulera enhetstillverkarna att släppa uppdateringar snabbt, nu när attacken är vanlig kunskap.

På ett bredare not är detta ett bra exempel på varför Android-fragmentering är en sådan säkerhetsmardröm.

Återigen är det en katastrof som #Android uppdateringarna är i händerna på hårdvarutillverkarna. Bör skada Android på allvar. #Scenskräck

- Mike? (@Mipesom) 27 juli 2015

På ett avlåst ekosystem som iOS kan en patch för detta skyndas ut på några timmar. På Android kan det ta månader eller år att få alla enheter uppåt på grund av den enorma fragmenteringen. Jag är intresserad av att se vilka lösningar som Google kommer fram under de kommande åren för att börja ta med dessa säkerhetsmässiga uppdateringar ur enhetens tillverkare.

Är du en Android-användare som påverkas av det här problemet? Bekymrad för din integritet? Låt oss veta dina tankar i kommentarerna!

Bildkredit: Bakgrundsbelyst tangentbord av Wikimedia

En författare och journalist baserad på sydväst, garanteras Andre att vara funktionell upp till 50 grader Celcius och är vattentät till ett djup av tolv meter.