Otkriven sigurnosni propust na Android OS-u

Mnogi mediji su se raspisali o “fatalnom MMS-u” koji ugrožava preko 900.000 milijuna Android korisnika. Kako nisamo jeda od “Šok i nevjerica” medija, odlučili smo saznati o čemu se točno radi.

Programski kod naziva Stagefright otkrio je ovu sigurnosnu rupu u Android operativnom sustavu. Stagefright je set podataka multimedijalnog sadržaja koja može kreirati bilo koji media format (.avi , .mp3 itd..), sam set podataka je napisan u nativnom C++ kodu koji je puno riskantniji za memorijske upade od primjerice Jave.

Joshua J.Drake iz Zimperium zLabs koji je otkrio ovu sigurnosnu rupi, izjavio je da je otprilike 95% Android uređaja potpuno nezaštićeno od Stagefright koda. Joshua je svoje podatke o istraživanju otkrio na DEF CON-u 23 i demonstrirao što sve kod može napraviti (preuzeti kontrolu nad komunikacijom i funkcionalnostima Android uređaja).

Problem je što ovaj tip koda može preuzeti kontrolu nad Android uređajem bez dozvole korisnika. Dovoljno je imati broj mobilnog uređaja na koji se pošalje putem posebnog servisa obična MMS poruka sa Stagefright kodom. Sama MMS poruka se odmah obriše, stoga korisni niti ne zna da ju je dobio. Takav napad je izveden na Nexus 5 pametnom telefonu sa Android Lolipop operativnim  sustavom.

Sve verzije Android OS-a su otvorene za ovaj napad, od 2.2 do Jelly Bean koji je najgori,jer nema nikakve zaštite.

Stagefright ima ove CVE (Common Vulnerabilities and Exposure) oznake:

  • CVE-2015-1538
  • CVE-2015-1539
  • CVE-2015-3824
  • CVE-2015-3826
  • CVE-2015-3827
  • CVE-2015-3828
  • CVE-2015-3829

Tvrtka Zimperium, javila je ovaj sigurnosni problem Googleu i izradila sigurnosnu zakrpu. Google je reagira iznimno brzo i u 48 sati izdao prvu zakrpu koja će korisnicima biti dostupna za ažuriranje. Ukoliko ne želite čekati ažuriranje, svoj Android uređaj možete zaštititi sa zIPS aplikacijom (dostupna na ovom linku).

Ovim putem prenosimo zahvale Zimperium teama Google Android Security odjelu koji je iznimno brzo reagirao.

Da li ste zaštitili svoj Android smartphone?

Podijelite s nama svoje komentare na našoj facebook stranici fb.com/mobileplaceinfo 

 

 

Tagged under: ,

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top